Załaduj złośliwe oprogramowanie
Analitycy bezpieczeństwa odkryli utrzymujący się cyberatak wykorzystujący wiadomości e-mail phishingowe do dystrybucji szkodliwego oprogramowania znanego jako SSLoad. W tej kampanii, nazwanej FROZEN#SHADOW, zastosowano Cobalt Strike wraz z ConnectWise ScreenConnect w celu uzyskania zdalnego dostępu do pulpitu.
Głównym celem SSLoad jest tajna infiltracja, eksfiltracja danych i ukryta komunikacja z centrum dowodzenia. Po naruszeniu SSLoad instaluje różne backdoory i ładunki, aby zapewnić długoterminową obecność i uniknąć wykrycia.
Spis treści
Różne wektory infekcji wykorzystywane przez cyberprzestępców
Łańcuchy ataków obejmują wykorzystanie wiadomości phishingowych skierowanych do organizacji w Azji, Europie i obu Amerykach. Te e-maile zawierają linki prowadzące do plików JavaScript inicjujących proces infekcji.
Poprzednie ustalenia badaczy podkreślają dwie różne metody dystrybucji SSLoad. Jedna metoda wykorzystuje formularze kontaktowe witryny internetowej do osadzania złośliwych adresów URL, podczas gdy druga wykorzystuje dokumenty Microsoft Word z włączoną obsługą makr. Warto zauważyć, że ta druga metoda ułatwia dostarczanie Cobalt Strike za pośrednictwem złośliwego oprogramowania, podczas gdy pierwsza rozpowszechnia inny wariant szkodliwego oprogramowania znany jako Latrodectus , potencjalnie zastępującyIcedID .
Jak działa atak SSLoad?
Zasłonięty plik JavaScript („out_czlrh.js”) jest wykonywany za pośrednictwem wscript.exe, inicjując proces pobierania pliku instalatora MSI („slack.msi”) z udziału sieciowego pod adresem „\wireoneinternet[.]info@80\share” . Po uzyskaniu instalator uruchamia plik msiexec.exe.
Następnie instalator MSI nawiązuje kontakt z domeną kontrolowaną przez osobę atakującą w celu zdobycia i wdrożenia szkodliwego oprogramowania SSLoad za pośrednictwem rundll32.exe. Następnie zaatakowany system wysyła sygnały do serwera dowodzenia i kontroli (C2), przesyłając informacje.
Ten początkowy etap rozpoznania przygotowuje grunt dla Cobalt Strike, legalnego oprogramowania do symulacji przeciwnika, które służy do pobierania i instalowania ScreenConnect. Dzięki temu cyberprzestępcy mogą uzyskać zdalną kontrolę nad hostem.
Atakujący infekują urządzenia w sieci ofiary i naruszają poufne dane
Po uzyskaniu pełnego dostępu do systemu cyberprzestępcy inicjują zdobywanie danych uwierzytelniających i zbierają kluczowe informacje o systemie. Cyberprzestępcy rozpoczynają skanowanie hosta ofiary w poszukiwaniu danych uwierzytelniających przechowywanych w plikach i innych potencjalnie wrażliwych dokumentach.
Co więcej, napastnicy zwracają się do innych systemów w sieci, w tym do kontrolera domeny, ostatecznie naruszając domenę Windows ofiary, ustanawiając własne konto administratora domeny.
Ten wysoki poziom dostępu umożliwia nieuczciwym aktorom dostęp do dowolnej podłączonej maszyny w domenie. Ostatecznie ten scenariusz stanowi najgorszy scenariusz dla każdej organizacji, ponieważ trwałość osiągnięta przez atakujących wymaga dużej ilości czasu i zasobów na naprawę.
Podejmij działania przeciwko kampaniom ataków, takim jak FROZEN#SHADOW
Phishing pozostaje najpopularniejszą metodą wykorzystywaną przez cyberprzestępców do przeprowadzania skutecznych włamań, polegających na wprowadzaniu złośliwego oprogramowania i naruszaniu systemów wewnętrznych. Dla użytkowników pierwszej linii niezwykle ważne jest rozpoznanie tych zagrożeń i zrozumienie, jak je identyfikować. Zachowaj ostrożność w przypadku niechcianych wiadomości e-mail, szczególnie tych zawierających nieoczekiwaną treść lub mających charakter pilny.
Jeśli chodzi o zapobieganie i wykrywanie, badacze sugerują powstrzymanie się od pobierania plików lub załączników z nieznanych źródeł zewnętrznych, szczególnie jeśli są one niechciane. Typowe typy plików wykorzystywane w atakach to zip, rar, iso i pdf, przy czym pliki zip są szczególnie wykorzystywane w tej kampanii. Ponadto zaleca się monitorowanie często atakowanych katalogów przemieszczania złośliwego oprogramowania, zwłaszcza pod kątem aktywności związanej ze skryptami w zapisywalnych katalogach.
Na różnych etapach kampanii FROZEN#SHADOW ugrupowania zagrażające wykorzystywały zaszyfrowane kanały na porcie 443, aby uniknąć wykrycia. Dlatego zdecydowanie zaleca się wdrożenie niezawodnych funkcji rejestrowania w punktach końcowych, w tym wykorzystanie dodatkowego rejestrowania na poziomie procesu w celu zwiększenia zasięgu wykrywania.
