SSLoad kenkėjiška programa
Saugumo analitikai atskleidė nuolatinį kibernetinį puolimą, naudojant sukčiavimo el. laiškus, kad būtų platinama kenkėjiška programa, žinoma kaip SSLoad. Ši kampanija, pavadinta FROZEN#SHADOW, naudoja „Cobalt Strike“ kartu su „ConnectWise ScreenConnect“, kad būtų galima pasiekti nuotolinį darbalaukį.
Pagrindinis „SSLoad“ tikslas yra slaptas įsiskverbimas, duomenų išfiltravimas ir slaptas bendravimas su valdymo centru. Pažeidus, SSLoad įdiegia įvairias galines duris ir naudingąsias apkrovas, kad užtikrintų ilgalaikį buvimą ir išvengtų aptikimo.
Turinys
Įvairūs kibernetinių nusikaltėlių naudojami infekcijos vektoriai
Atakų grandinės apima sukčiavimo pranešimų, nukreiptų į Azijos, Europos ir Amerikos organizacijas, naudojimą. Šiuose el. laiškuose yra nuorodų, nukreipiančių į „JavaScript“ failus, kurie inicijuoja infekcijos procesą.
Ankstesni mokslininkų išvados išryškina du skirtingus SSLoad platinimo metodus. Vienas metodas naudoja svetainių kontaktines formas kenkėjiškiems URL įterpti, o kitas – „Microsoft Word“ dokumentus su makrokomandomis. Pažymėtina, kad pastarasis metodas palengvina „Cobalt Strike“ pristatymą naudojant kenkėjiškas programas, o pirmasis platina kitą kenkėjiškos programos variantą, žinomą kaip Latrodectus , galintį pakeisti„IcedID“ .
Kaip veikia SSLoad ataka?
Užslėptas „JavaScript“ failas („out_czlrh.js“) vykdomas naudojant wscript.exe, pradėdamas MSI diegimo programos failo („slack.msi“) nuskaitymo procesą iš tinklo bendrinamo įrenginio adresu „\wireoneinternet[.]info@80\share“. . Gavęs diegimo programą, ji paleidžia msiexec.exe.
Vėliau MSI diegimo programa užmezga ryšį su užpuoliko valdomu domenu, kad gautų ir įdiegtų SSLoad kenkėjiškų programų naudingąją apkrovą per rundll32.exe. Po to pažeista sistema siunčia signalus į komandų ir valdymo (C2) serverį, perduodama informaciją.
Šis pradinis žvalgybos etapas yra pagrindas Cobalt Strike – teisėtai priešo modeliavimo programinei įrangai, kuri naudojama atsisiųsti ir įdiegti „ScreenConnect“. Tai leidžia grėsmės veikėjams nuotoliniu būdu valdyti pagrindinį kompiuterį.
Užpuolikai užkrečia įrenginius visame aukos tinkle ir pažeidžia jautrius duomenis
Gavę visišką prieigą prie sistemos, grėsmės veikėjai inicijuoja kredencialų gavimą ir renka esminę sistemos informaciją. Kibernetiniai nusikaltėliai pradeda nuskaityti nukentėjusįjį pagrindinį kompiuterį, ieškodami failuose ir kituose potencialiai jautriuose dokumentuose saugomų kredencialų.
Be to, užpuolikai kreipiasi į kitas tinklo sistemas, įskaitant domeno valdiklį, ir galiausiai pažeidžia aukos „Windows“ domeną, sukurdami savo domeno administratoriaus paskyrą.
Šis aukštas prieigos lygis suteikia blogai mąstantiems veikėjams prieigą prie bet kurio prijungto domeno įrenginio. Galiausiai šis scenarijus yra blogiausias bet kurios organizacijos rezultatas, nes užpuolikų atkaklumas reikalauja daug laiko ir išteklių ištaisymui.
Imkitės priemonių prieš puolimo kampanijas, tokias kaip FROZEN#SHADOW
Sukčiavimas išlieka pagrindiniu metodu grėsmės veikėjams sėkmingai įvykdyti pažeidimus, įdiegti kenkėjiškas programas ir pažeisti vidines sistemas. Labai svarbu, kad pirmieji naudotojai atpažintų šias grėsmes ir suprastų, kaip jas atpažinti. Būkite atsargūs su nepageidaujamais el. laiškais, ypač netikėto turinio ar skubos jausmo.
Kalbant apie prevenciją ir aptikimą, mokslininkai siūlo susilaikyti nuo failų ar priedų atsisiuntimo iš nežinomų išorinių šaltinių, ypač jei jie yra nepageidaujami. Įprasti atakoms naudojami failų tipai yra zip, rar, iso ir pdf, o zip failai ypač naudojami šioje kampanijoje. Be to, rekomenduojama stebėti dažniausiai taikomus kenkėjiškų programų sudarymo katalogus, ypač su scenarijais susijusią veiklą įrašomuose kataloguose.
Įvairiais FROZEN#SHADOW kampanijos etapais grėsmės veikėjai naudojo užšifruotus kanalus per 443 prievadą, kad išvengtų aptikimo. Todėl primygtinai rekomenduojama įdiegti patikimas galinių taškų registravimo galimybes, įskaitant papildomo proceso lygio registravimą, kad būtų padidinta aptikimo aprėptis.
