SSLoad ļaunprātīgu programmatūru
Drošības analītiķi ir atklājuši pastāvīgu kiberuzbrukumu, izmantojot pikšķerēšanas e-pastus, lai izplatītu ļaunprātīgas programmatūras celmu, kas pazīstams kā SSLoad. Šī kampaņa, kas nodēvēta par FROZEN#SHADOW, izmanto Cobalt Strike kopā ar ConnectWise ScreenConnect attālai piekļuvei darbvirsmai.
SSLoad galvenais mērķis ir slepena infiltrācija, datu izfiltrēšana un slēpta saziņa ar komandu centru. Pārkāpuma gadījumā SSLoad instalē dažādas aizmugures durvis un lietderīgās slodzes, lai nodrošinātu ilgstošu klātbūtni un izvairītos no atklāšanas.
Satura rādītājs
Dažādi infekciju vektori, ko izmanto kibernoziedznieki
Uzbrukumu ķēdes ietver pikšķerēšanas ziņojumu izmantošanu, kuru mērķauditorija ir organizācijas visā Āzijā, Eiropā un Amerikā. Šajos e-pastos ir saites, kas ved uz JavaScript failiem, uzsākot inficēšanās procesu.
Iepriekšējie pētnieku atklājumi izceļ divas atšķirīgas SSLoad izplatīšanas metodes. Viena metode izmanto vietņu saziņas veidlapas, lai iegultu ļaunprātīgus vietrāžus URL, bet otrā izmanto Microsoft Word dokumentus, kuros ir iespējots makro. Proti, pēdējā metode atvieglo Cobalt Strike piegādi, izmantojot ļaunprātīgu programmatūru, savukārt pirmā izplata citu ļaunprātīgas programmatūras variantu, kas pazīstams kā Latrodectus , kas, iespējams, pārņemsIcedID .
Kā darbojas SSLoad uzbrukums?
Aizsegtais JavaScript fails ('out_czlrh.js') tiek izpildīts, izmantojot wscript.exe, uzsākot procesu, lai izgūtu MSI instalēšanas failu ('slack.msi') no tīkla koplietojuma vietnē "\wireoneinternet[.]info@80\share". . Kad instalētājs ir iegūts, tā palaišanai izmanto msiexec.exe.
Pēc tam MSI instalētājs izveido kontaktu ar domēnu, ko kontrolē uzbrucējs, lai iegūtu un izvietotu SSLoad ļaunprātīgas programmatūras lietderīgo slodzi, izmantojot rundll32.exe. Pēc tam apdraudētā sistēma nosūta signālus uz Command-and-Control (C2) serveri, pārsūtot informāciju.
Šis sākotnējais izlūkošanas posms ir pamats Cobalt Strike, likumīgai pretinieka simulācijas programmatūrai, kas tiek izmantota, lai lejupielādētu un instalētu ScreenConnect. Tas ļauj apdraudējuma dalībniekiem iegūt tālvadības kontroli pār saimniekdatoru.
Uzbrucēji inficē ierīces visā upura tīklā un apdraud sensitīvus datus
Ieguvuši pilnīgu piekļuvi sistēmai, apdraudējuma dalībnieki uzsāk akreditācijas datu iegūšanu un apkopo svarīgu sistēmas informāciju. Kibernoziedznieki sāk skenēt upura resursdatoru, lai atrastu failos un citos potenciāli sensitīvos dokumentos saglabātos akreditācijas datus.
Turklāt uzbrucēji pagriežas uz citām sistēmām tīklā, tostarp domēna kontrolleri, galu galā pārkāpjot upura Windows domēnu, izveidojot savu domēna administratora kontu.
Šis augstais piekļuves līmenis ļauj slikti domājošiem dalībniekiem iekļūt jebkurā domēnā pievienotajā datorā. Galu galā šis scenārijs ir sliktākais iznākums jebkurai organizācijai, jo uzbrucēju neatlaidības dēļ ir nepieciešams daudz laika un līdzekļu atlīdzināšanai.
Veiciet pasākumus pret uzbrukuma kampaņām, piemēram, FROZEN#SHADOW
Pikšķerēšana joprojām ir galvenā metode, kā apdraudējuma dalībnieki var veikt veiksmīgus pārkāpumus, ieviešot ļaunprātīgu programmatūru un kompromitējot iekšējās sistēmas. Priekšējiem lietotājiem ir svarīgi atpazīt šos draudus un saprast, kā tos identificēt. Esiet piesardzīgs ar nevēlamiem e-pasta ziņojumiem, jo īpaši tiem, kuriem ir neparedzēts saturs vai steidzamības sajūta.
Attiecībā uz profilaksi un atklāšanu pētnieki iesaka atturēties no failu vai pielikumu lejupielādes no nezināmiem ārējiem avotiem, īpaši, ja tie ir nevēlami. Parasti uzbrukumos izmantotie failu veidi ir zip, rar, iso un pdf, un šajā kampaņā īpaši tiek izmantoti zip faili. Turklāt ir ieteicams pārraudzīt bieži atlasītos ļaunprogrammatūras izvietošanas direktorijus, jo īpaši attiecībā uz darbībām, kas saistītas ar skriptiem rakstāmajos direktorijos.
Dažādos FROZEN#SHADOW kampaņas posmos draudu dalībnieki izmantoja šifrētus kanālus, izmantojot 443. portu, lai izvairītos no atklāšanas. Tāpēc ir ļoti ieteicams izvietot stabilas galapunktu reģistrēšanas iespējas, tostarp izmantot papildu procesa līmeņa reģistrēšanu, lai uzlabotu noteikšanas pārklājumu.
