SSLoad-malware
Beveiligingsanalisten hebben een aanhoudende cyberaanval ontdekt waarbij gebruik wordt gemaakt van phishing-e-mails om een malwaresoort te verspreiden die bekend staat als SSLoad. Deze campagne, genaamd FROZEN#SHADOW, maakt gebruik van de Cobalt Strike naast ConnectWise ScreenConnect voor externe desktoptoegang.
Het primaire doel van SSLoad is clandestiene infiltratie, data-exfiltratie en heimelijke communicatie met het commandocentrum. Bij inbreuk installeert SSLoad verschillende achterdeurtjes en payloads om langdurige aanwezigheid te garanderen en detectie te omzeilen.
Inhoudsopgave
De verschillende infectievectoren die door cybercriminelen worden gebruikt
Aanvalsketens omvatten het gebruik van phishing-berichten gericht op organisaties in Azië, Europa en Amerika. Deze e-mails bevatten links die naar JavaScript-bestanden leiden, waardoor het infectieproces wordt gestart.
Eerdere bevindingen van onderzoekers benadrukken twee verschillende distributiemethoden voor SSLoad. De ene methode maakt gebruik van contactformulieren op websites om kwaadaardige URL's in te sluiten, terwijl de andere gebruik maakt van Microsoft Word-documenten met macro's. Met name vergemakkelijkt de laatste methode de levering van Cobalt Strike via malware, terwijl de eerste een andere malwarevariant verspreidt die bekend staat als Latrodectus en mogelijk de opvolger is vanIcedID .
Hoe werkt de SSLoad-aanval?
Het verborgen JavaScript-bestand ('out_czlrh.js') wordt uitgevoerd via wscript.exe en initieert een proces om een MSI-installatiebestand ('slack.msi') op te halen van een netwerkshare op '\wireoneinternet[.]info@80\share' . Eenmaal verkregen, gebruikt het installatieprogramma msiexec.exe om uit te voeren.
Vervolgens maakt het MSI-installatieprogramma contact met een domein dat wordt beheerd door de aanvaller om de SSLoad-malware-payload via rundll32.exe te verwerven en te implementeren. Hierna stuurt het gecompromitteerde systeem signalen naar een Command-and-Control (C2)-server, waarbij informatie wordt verzonden.
Deze eerste verkenningsfase vormt de basis voor Cobalt Strike, een legitieme simulatiesoftware voor tegenstanders, die wordt gebruikt om ScreenConnect te downloaden en te installeren. Hierdoor kunnen bedreigingsactoren op afstand controle krijgen over de host.
Aanvallers infecteren apparaten in het netwerk van het slachtoffer en compromitteren gevoelige gegevens
Nadat ze volledige toegang tot het systeem hebben verkregen, starten de bedreigingsactoren het verwerven van referenties en verzamelen ze cruciale systeeminformatie. Cybercriminelen beginnen de host van het slachtoffer te scannen op opgeslagen inloggegevens in bestanden en andere potentieel gevoelige documenten.
Bovendien richten de aanvallers zich op andere systemen binnen het netwerk, waaronder de domeincontroller, en breken uiteindelijk het Windows-domein van het slachtoffer binnen door een eigen domeinbeheerdersaccount aan te maken.
Dit hoge toegangsniveau geeft kwaadwillende actoren toegang tot elke verbonden machine binnen het domein. Uiteindelijk vertegenwoordigt dit scenario de slechtste uitkomst voor elke organisatie, omdat de volharding van de aanvallers veel tijd en middelen vergt voor herstel.
Neem maatregelen tegen aanvalscampagnes zoals FROZEN#SHADOW
Phishing blijft de belangrijkste methode voor bedreigingsactoren om succesvolle inbreuken uit te voeren, malware te introduceren en interne systemen in gevaar te brengen. Het is van cruciaal belang dat eerstelijnsgebruikers deze bedreigingen herkennen en begrijpen hoe ze kunnen worden geïdentificeerd. Wees voorzichtig met ongevraagde e-mails, vooral als deze een onverwachte inhoud hebben of een gevoel van urgentie hebben.
In termen van preventie en detectie raden onderzoekers aan om geen bestanden of bijlagen van onbekende externe bronnen te downloaden, vooral als deze ongevraagd zijn. Veel voorkomende bestandstypen die bij aanvallen worden gebruikt, zijn onder meer zip, rar, iso en pdf, waarbij vooral in deze campagne zip-bestanden worden gebruikt. Bovendien wordt geadviseerd om vaak gerichte malware-staging-mappen te monitoren, vooral voor scriptgerelateerde activiteiten in beschrijfbare mappen.
Gedurende verschillende fasen van de FROZEN#SHADOW-campagne gebruikten bedreigingsactoren gecodeerde kanalen via poort 443 om detectie te omzeilen. Daarom wordt het ten zeerste aanbevolen om robuuste eindpuntregistratiemogelijkheden in te zetten, inclusief het benutten van extra logboekregistratie op procesniveau voor een betere detectiedekking.
