SSLoad skadelig programvare

Sikkerhetsanalytikere har avdekket et vedvarende cyberangrep ved å bruke phishing-e-poster for å distribuere en skadelig programvare-stamme kjent som SSLoad. Denne kampanjen, kalt FROZEN#SHADOW, bruker Cobalt Strike sammen med ConnectWise ScreenConnect for ekstern tilgang til skrivebordet.

SSLoads primære mål er hemmelig infiltrasjon, dataeksfiltrering og skjult kommunikasjon med kommandosenteret. Ved brudd installerer SSLoad ulike bakdører og nyttelaster for å sikre langsiktig tilstedeværelse og unngå deteksjon.

De forskjellige infeksjonsvektorene som brukes av nettkriminelle

Angrepskjeder involverer bruk av phishing-meldinger rettet mot organisasjoner over hele Asia, Europa og Amerika. Disse e-postene inneholder lenker som fører til JavaScript-filer, som starter infeksjonsprosessen.

Tidligere funn fra forskere fremhever to distinkte distribusjonsmetoder for SSLoad. Den ene metoden bruker nettstedskontaktskjemaer for å bygge inn ondsinnede URL-er, mens den andre bruker makroaktiverte Microsoft Word-dokumenter. Spesielt forenkler sistnevnte metode levering av Cobalt Strike via skadelig programvare, mens førstnevnte distribuerer en annen malware-variant kjent som Latrodectus , som potensielt etterfølgerIcedID .

Hvordan fungerer SSLoad-angrepet?

Den skjulte JavaScript-filen ('out_czlrh.js') kjøres gjennom wscript.exe, og starter en prosess for å hente en MSI-installasjonsfil ('slack.msi') fra en nettverksressurs på '\wireoneinternet[.]info@80\share' . Når det er oppnådd, bruker installasjonsprogrammet msiexec.exe til å kjøre.

Deretter etablerer MSI-installasjonsprogrammet kontakt med et domene kontrollert av angriperen for å skaffe og distribuere SSLoad-skadevarenyttelasten via rundll32.exe. Etter dette sender det kompromitterte systemet signaler til en Command-and-Control-server (C2), og overfører informasjon.

Denne første rekognoseringsfasen setter scenen for Cobalt Strike, en legitim motstanders simuleringsprogramvare, som brukes til å laste ned og installere ScreenConnect. Dette gjør det mulig for trusselaktører å få fjernkontroll over verten.

Angripere infiserer enheter på tvers av offerets nettverk og kompromitterer sensitive data

Etter å ha fått fullstendig systemtilgang, starter trusselaktørene innhenting av legitimasjon og samler viktig systeminformasjon. Nettkriminelle begynner å skanne offerverten for lagret legitimasjon i filer og andre potensielt sensitive dokumenter.

Videre pivoterer angriperne til andre systemer i nettverket, inkludert domenekontrolleren, og bryter til slutt offerets Windows-domene ved å etablere sin egen domeneadministratorkonto.

Dette høye tilgangsnivået gir dårlige skuespillere adgang til alle tilkoblede maskiner innenfor domenet. Til syvende og sist representerer dette scenariet det verste utfallet for enhver organisasjon, ettersom utholdenheten oppnådd av angriperne krever omfattende tid og ressurser for utbedring.

Ta tiltak mot angrepskampanjer som FROZEN#SHADOW

Phishing er fortsatt den beste metoden for trusselaktører for å utføre vellykkede brudd, introdusere skadelig programvare og kompromittere interne systemer. Det er avgjørende for frontlinjebrukere å gjenkjenne disse truslene og forstå hvordan de skal identifiseres. Vær forsiktig med uønskede e-poster, spesielt de med uventet innhold eller en følelse av at det haster.

Når det gjelder forebygging og deteksjon, foreslår forskere å avstå fra å laste ned filer eller vedlegg fra ukjente eksterne kilder, spesielt hvis de er uoppfordret. Vanlige filtyper brukt i angrep inkluderer zip, rar, iso og pdf, med zip-filer spesielt brukt i denne kampanjen. I tillegg anbefales det å overvåke ofte målrettede kataloger for iscenesettelser av skadelig programvare, spesielt for skriptrelatert aktivitet i skrivbare kataloger.

Gjennom ulike faser av FROZEN#SHADOW-kampanjen brukte trusselaktører krypterte kanaler over port 443 for å unngå oppdagelse. Derfor anbefales det på det sterkeste å distribuere robuste endepunktloggingsfunksjoner, inkludert utnyttelse av ytterligere logging på prosessnivå for forbedret deteksjonsdekning.