SSLoad मालवेयर
सुरक्षा विश्लेषकहरूले SSLoad भनिने मालवेयर स्ट्रेन वितरण गर्न फिसिङ इमेलहरू प्रयोग गरेर लगातार साइबर आक्रमण पत्ता लगाएका छन्। FROZEN#SHADOW डब गरिएको, यो अभियानले रिमोट डेस्कटप पहुँचको लागि ConnectWise ScreenConnect सँगसँगै कोबाल्ट स्ट्राइकलाई रोजगार दिन्छ।
SSLoad को प्राथमिक उद्देश्य गुप्त घुसपैठ, डाटा निष्कासन, र यसको कमाण्ड सेन्टर संग गुप्त संचार हो। उल्लङ्घनमा, SSLoad ले लामो समयको उपस्थिति सुनिश्चित गर्न र पत्ता लगाउनबाट बच्न विभिन्न ब्याकडोर र पेलोडहरू स्थापना गर्दछ।
सामग्रीको तालिका
साइबर अपराधीहरूद्वारा प्रयोग गरिएका विभिन्न संक्रमण भेक्टरहरू
आक्रमण चेनहरूमा एशिया, युरोप र अमेरिकाभरका संस्थाहरूलाई लक्षित गर्ने फिसिङ सन्देशहरूको प्रयोग समावेश छ। यी इमेलहरूले जाभास्क्रिप्ट फाइलहरूमा जाने लिङ्कहरू समावेश गर्दछ, संक्रमण प्रक्रिया सुरु गर्दै।
शोधकर्ताहरूबाट अघिल्लो निष्कर्षहरूले SSLoad को लागि दुई फरक वितरण विधिहरू हाइलाइट गर्दछ। एउटा विधिले दुर्भावनापूर्ण URL हरू इम्बेड गर्न वेबसाइट सम्पर्क फारमहरू प्रयोग गर्दछ, जबकि अर्कोले म्याक्रो-सक्षम Microsoft Word कागजातहरू प्रयोग गर्दछ। उल्लेखनीय रूपमा, पछिल्लो विधिले मालवेयर मार्फत कोबाल्ट स्ट्राइकको डेलिभरीलाई सहज बनाउँछ, जबकि पहिलेको अर्को मालवेयर संस्करणलाई ल्याट्रोडेक्टस भनिन्छ, सम्भावित रूपमाIcedID सफल हुन्छ।
SSLoad आक्रमण कसरी सञ्चालन हुन्छ?
अस्पष्ट JavaScript फाइल ('out_czlrh.js') wscript.exe मार्फत कार्यान्वयन हुन्छ, '\wireoneinternet[.]info@80\share' मा नेटवर्क सेयरबाट MSI स्थापनाकर्ता फाइल ('slack.msi') पुन: प्राप्त गर्ने प्रक्रिया प्रारम्भ गर्दै। । एक पटक प्राप्त भएपछि, स्थापनाकर्ताले चलाउन msiexec.exe प्रयोग गर्दछ।
पछि, MSI स्थापनाकर्ताले rundll32.exe मार्फत SSLoad मालवेयर पेलोड प्राप्त गर्न र डिप्लोय गर्न आक्रमणकर्ताद्वारा नियन्त्रित डोमेनसँग सम्पर्क स्थापित गर्दछ। यसलाई पछ्याउँदै, सम्झौता प्रणालीले कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा सूचना पठाउँदै संकेतहरू पठाउँछ।
यो प्रारम्भिक जासूसी चरणले कोबाल्ट स्ट्राइकको लागि चरण सेट गर्दछ, एक वैध विरोधी सिमुलेशन सफ्टवेयर, जुन ScreenConnect डाउनलोड र स्थापना गर्न प्रयोग गरिन्छ। यसले खतरा अभिनेताहरूलाई होस्टमा रिमोट कन्ट्रोल प्राप्त गर्न सक्षम बनाउँछ।
आक्रमणकारीहरूले पीडितको नेटवर्कमा उपकरणहरू संक्रमित गर्छन् र संवेदनशील डेटामा सम्झौता गर्छन्
पूर्ण प्रणाली पहुँच प्राप्त गरिसकेपछि, धम्की अभिनेताहरूले प्रमाण प्राप्ति प्रारम्भ गर्छन् र महत्त्वपूर्ण प्रणाली जानकारी सङ्कलन गर्छन्। साइबर अपराधीहरूले फाइलहरू र अन्य सम्भावित संवेदनशील कागजातहरू भित्र भण्डार गरिएका प्रमाणहरूका लागि पीडित होस्टलाई स्क्यान गर्न थाल्छन्।
यसबाहेक, आक्रमणकारीहरूले डोमेन नियन्त्रक लगायत नेटवर्क भित्रका अन्य प्रणालीहरूमा पिभोट गर्छन्, अन्ततः आफ्नै डोमेन प्रशासक खाता स्थापना गरेर पीडितको विन्डोज डोमेनलाई उल्लङ्घन गर्छन्।
पहुँचको यो उच्च स्तरले डोमेन भित्र कुनै पनि जडित मेसिनमा खराब दिमाग भएका कलाकारहरूलाई प्रवेश प्रदान गर्दछ। अन्ततः, यो परिदृश्यले कुनै पनि संगठनको लागि सबैभन्दा खराब-केस परिणाम प्रतिनिधित्व गर्दछ, किनकि आक्रमणकारीहरूले हासिल गरेको दृढताले सुधारको लागि व्यापक समय र स्रोतहरू आवश्यक पर्दछ।
FROZEN#SHADOW जस्ता आक्रमण अभियानहरू विरुद्ध उपायहरू लिनुहोस्
फिसिङ सफलतापूर्वक उल्लङ्घनहरू कार्यान्वयन गर्न, मालवेयर परिचय र आन्तरिक प्रणालीहरू सम्झौता गर्न खतरा अभिनेताहरूको लागि शीर्ष विधि रहन्छ। फ्रन्टलाइन प्रयोगकर्ताहरूले यी खतराहरू पहिचान गर्न र तिनीहरूलाई कसरी पहिचान गर्ने भनेर बुझ्नु महत्त्वपूर्ण छ। अप्रत्याशित इमेलहरू, विशेष गरी अप्रत्याशित सामग्री वा अत्यावश्यकताको भावना भएकाहरूसँग सावधानी अपनाउनुहोस्।
रोकथाम र पत्ता लगाउने सन्दर्भमा, अन्वेषकहरूले अज्ञात बाह्य स्रोतहरूबाट फाइलहरू वा संलग्नहरू डाउनलोड गर्नबाट परहेज गर्न सुझाव दिन्छन्, विशेष गरी यदि तिनीहरू अवांछित छन्। आक्रमणहरूमा प्रयोग गरिएका सामान्य फाइल प्रकारहरूमा zip, rar, iso, र pdf समावेश छन्, यस अभियानमा विशेष रूपमा प्रयोग गरिएका zip फाइलहरू। थप रूपमा, सामान्यतया लक्षित मालवेयर स्टेजिङ डाइरेक्टरीहरू निगरानी गर्न सल्लाह दिइन्छ, विशेष गरी लेखन योग्य डाइरेक्टरीहरूमा लिपि-सम्बन्धित गतिविधिको लागि।
FROZEN#SHADOW अभियानका विभिन्न चरणहरूमा, खतरा अभिनेताहरूले पत्ता लगाउनबाट बच्न पोर्ट 443 मा इन्क्रिप्टेड च्यानलहरू प्रयोग गरे। तसर्थ, परिष्कृत पत्ता लगाउने कभरेजको लागि थप प्रक्रिया-स्तर लगिङको लाभ उठाउने सहित, बलियो अन्तबिन्दु लगिङ क्षमताहरू प्रयोग गर्न कडा रूपमा सिफारिस गरिन्छ।
