Multi-License Discount Quote
위협 데이터베이스 Malware SSLoad 악성코드

SSLoad 악성코드

Malware년에 Mezo 년까지
번역 :
한국어

보안 분석가들은 SSLoad로 알려진 악성 코드 변종을 배포하기 위해 피싱 이메일을 사용하는 지속적인 사이버 공격을 발견했습니다. FROZEN#SHADOW라고 명명된 이 캠페인은 원격 데스크톱 액세스를 위해 ConnectWise ScreenConnect와 함께 Cobalt Strike를 사용합니다.

SSLoad의 주요 목표는 은밀한 침투, 데이터 유출, 명령 센터와의 은밀한 통신입니다. 위반 시 SSLoad는 다양한 백도어와 페이로드를 설치하여 장기적인 존재를 보장하고 탐지를 회피합니다.

사이버 범죄자가 활용하는 다양한 감염 벡터

공격 체인에는 아시아, 유럽, 미주 지역의 조직을 표적으로 삼는 피싱 메시지 활용이 포함됩니다. 이러한 이메일에는 감염 프로세스를 시작하는 JavaScript 파일로 연결되는 링크가 포함되어 있습니다.

연구원들의 이전 연구 결과는 SSLoad에 대한 두 가지 서로 다른 배포 방법을 강조했습니다. 한 가지 방법은 웹 사이트 문의 양식을 활용하여 악성 URL을 삽입하는 반면, 다른 방법은 매크로 지원 Microsoft Word 문서를 사용합니다. 특히 후자의 방법은 악성 코드를 통해 Cobalt Strike의 전달을 용이하게 하는 반면, 전자는IcedID 의 뒤를 잇는 Latrodectus 라는 또 다른 악성 코드 변종을 배포합니다.

SSLoad 공격은 어떻게 작동하나요?

가려진 JavaScript 파일('out_czlrh.js')은 wscript.exe를 통해 실행되어 '\wireoneinternet[.]info@80\share'의 네트워크 공유에서 MSI 설치 프로그램 파일('slack.msi')을 검색하는 프로세스를 시작합니다. . 획득한 후에는 설치 프로그램이 msiexec.exe를 사용하여 실행됩니다.

이후 MSI 설치 프로그램은 공격자가 제어하는 도메인과 연결하여 rundll32.exe를 통해 SSLoad 악성 코드 페이로드를 획득하고 배포합니다. 이후 손상된 시스템은 명령 및 제어(C2) 서버에 신호를 보내 정보를 전송합니다.

이 초기 정찰 단계는 ScreenConnect를 다운로드하고 설치하는 데 사용되는 합법적인 적 시뮬레이션 소프트웨어인 Cobalt Strike의 단계를 설정합니다. 이를 통해 위협 행위자는 호스트를 원격으로 제어할 수 있습니다.

공격자는 피해자의 네트워크를 통해 장치를 감염시키고 민감한 데이터를 손상시킵니다.

완전한 시스템 액세스 권한을 얻은 위협 행위자는 자격 증명 획득을 시작하고 중요한 시스템 정보를 수집합니다. 사이버 범죄자는 파일 및 기타 잠재적으로 민감한 문서에 저장된 자격 증명을 찾기 위해 피해자 호스트를 검색하기 시작합니다.

또한 공격자는 도메인 컨트롤러를 포함하여 네트워크 내의 다른 시스템으로 전환하여 궁극적으로 자신의 도메인 관리자 계정을 설정하여 피해자의 Windows 도메인을 침해합니다.

이러한 높은 수준의 액세스 권한은 악의적인 행위자가 도메인 내 연결된 모든 컴퓨터에 접근할 수 있도록 허용합니다. 궁극적으로 이 시나리오는 공격자가 달성한 지속성 때문에 해결을 위해 광범위한 시간과 리소스가 필요하므로 모든 조직에 대한 최악의 결과를 나타냅니다.

FROZEN#SHADOW와 같은 공격 캠페인에 대한 조치를 취하세요.

피싱은 위협 행위자가 성공적인 침해를 실행하고 악성 코드를 도입하고 내부 시스템을 손상시키는 가장 좋은 방법으로 남아 있습니다. 일선 사용자가 이러한 위협을 인식하고 이를 식별하는 방법을 이해하는 것이 중요합니다. 원치 않는 이메일, 특히 예상치 못한 내용이 있거나 긴급한 내용이 담긴 이메일을 받을 때는 주의하세요.

예방 및 탐지 측면에서 연구자들은 알 수 없는 외부 소스로부터 파일이나 첨부 파일을 다운로드하지 말 것을 제안합니다. 특히 원치 않는 경우라면 더욱 그렇습니다. 공격에 사용되는 일반적인 파일 형식에는 zip, rar, iso, pdf가 포함되며 특히 이 캠페인에서는 zip 파일이 활용되었습니다. 또한 특히 쓰기 가능한 디렉터리의 스크립트 관련 활동에 대해 일반적으로 대상이 되는 맬웨어 준비 디렉터리를 모니터링하는 것이 좋습니다.

FROZEN#SHADOW 캠페인의 다양한 단계에서 위협 행위자는 탐지를 회피하기 위해 포트 443을 통해 암호화된 채널을 활용했습니다. 따라서 향상된 탐지 범위를 위해 추가 프로세스 수준 로깅을 활용하는 것을 포함하여 강력한 엔드포인트 로깅 기능을 배포하는 것이 좋습니다.

트렌드

Baseauthenticity.co.in

Rogue Websites, Adware, Browser Hijackers
Baseauthenticity.co.in은 방문자가 원하지 않는 브라우저 알림을 구독하도록 속이기 위해 특별히 제작된 사기성 웹사이트로 운영됩니다. 이러한 침해적인 전술을 사용하는 것 외에도 웹 사이트에는 리디렉션을 실행하여 사용자를 신뢰성이 부족하고 잠재적으로 사용자의 온라인 보안 및 개인 정보 보호를 위험에 빠뜨릴 수 있는 다른 온라인 대상으로...

XploitSpy 모바일 악성코드

Mobile Malware, Trojans
eXotic Visit라는 새로운 안드로이드 악성 코드 캠페인은 남아시아, 특히 인도와 파키스탄의 사용자를 적극적으로 표적으로 삼았습니다. 본 캠페인은 전문 웹사이트와 구글 플레이 스토어를 통해 악성코드를 유포해왔습니다. 연구원들은 2021년 11월부터 이 캠페인을 모니터링해 왔으며 알려진 위협 행위자 또는 그룹과의 연관성을 발견하지 못했습니다....

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
79,529
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
63,429
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...