SSLload Malware
Analiștii de securitate au descoperit un atac cibernetic persistent folosind e-mailuri de phishing pentru a distribui o tulpină de malware cunoscută sub numele de SSLoad. Denumită FROZEN#SHADOW, această campanie folosește Cobalt Strike alături de ConnectWise ScreenConnect pentru acces la desktop la distanță.
Obiectivul principal al SSLoad este infiltrarea clandestină, exfiltrarea datelor și comunicarea secretă cu centrul său de comandă. La încălcare, SSLoad instalează diverse uși și încărcături utile pentru a asigura prezența pe termen lung și pentru a evita detectarea.
Cuprins
Diferiții vectori de infecție utilizați de infractorii cibernetici
Lanțurile de atac implică utilizarea mesajelor de phishing care vizează organizații din Asia, Europa și America. Aceste e-mailuri conțin link-uri care duc la fișiere JavaScript, care inițiază procesul de infecție.
Descoperirile anterioare ale cercetătorilor evidențiază două metode distincte de distribuție pentru SSLoad. O metodă utilizează formulare de contact ale site-ului web pentru a încorpora adrese URL rău intenționate, în timp ce cealaltă utilizează documente Microsoft Word cu macro-activate. În special, cea de-a doua metodă facilitează livrarea lui Cobalt Strike prin intermediul programelor malware, în timp ce prima distribuie o altă variantă de malware cunoscută sub numele de Latrodectus , care poate succedaIcedID .
Cum funcționează atacul SSLoad?
Fișierul JavaScript ascuns („out_czlrh.js”) se execută prin wscript.exe, inițiind un proces pentru a prelua un fișier de instalare MSI („slack.msi”) dintr-o partajare de rețea la „\wireoneinternet[.]info@80\share” . Odată obținut, programul de instalare utilizează msiexec.exe pentru a rula.
Ulterior, programul de instalare MSI stabilește contactul cu un domeniu controlat de atacator pentru a achiziționa și implementa sarcina utilă de malware SSLoad prin rundll32.exe. După aceasta, sistemul compromis trimite semnale către un server de comandă și control (C2), transmițând informații.
Această etapă inițială de recunoaștere pregătește scena pentru Cobalt Strike, un software de simulare a adversarului legitim, care este folosit pentru a descărca și instala ScreenConnect. Acest lucru le permite actorilor amenințărilor să obțină control de la distanță asupra gazdei.
Atacatorii infectează dispozitivele din rețeaua victimei și compromit datele sensibile
După ce au obținut acces complet la sistem, actorii amenințărilor inițiază achiziția de acreditări și adună informații esențiale ale sistemului. Infractorii cibernetici încep să scaneze gazda victimei în căutarea acreditărilor stocate în fișiere și în alte documente potențial sensibile.
Mai mult, atacatorii pivotează către alte sisteme din rețea, inclusiv controlerul de domeniu, încălcând în cele din urmă domeniul Windows al victimei prin stabilirea propriului cont de administrator de domeniu.
Acest nivel înalt de acces oferă actorilor răi la minte intrarea pe orice mașină conectată din domeniu. În cele din urmă, acest scenariu reprezintă cel mai rău caz rezultat pentru orice organizație, deoarece persistența obținută de atacatori necesită timp și resurse extinse pentru remediere.
Luați măsuri împotriva campaniilor de atac precum FROZEN#SHADOW
Phishing-ul rămâne metoda de top pentru actorii amenințărilor de a executa încălcări de succes, introducând malware și compromițând sistemele interne. Este esențial pentru utilizatorii din prima linie să recunoască aceste amenințări și să înțeleagă cum să le identifice. Fiți precauți cu e-mailurile nesolicitate, în special cu cele cu conținut neașteptat sau cu un sentiment de urgență.
În ceea ce privește prevenirea și detectarea, cercetătorii sugerează să se abțină de la descărcarea fișierelor sau atașamentelor din surse externe necunoscute, în special dacă acestea sunt nesolicitate. Tipurile obișnuite de fișiere utilizate în atacuri includ zip, rar, iso și pdf, fișierele zip fiind utilizate în mod deosebit în această campanie. În plus, se recomandă monitorizarea directoarelor de instalare a programelor malware vizate în mod obișnuit, în special pentru activitățile legate de scripturi din directoarele care pot fi scrise.
Pe parcursul diferitelor faze ale campaniei FROZEN#SHADOW, actorii amenințărilor au folosit canale criptate peste portul 443 pentru a evita detectarea. Prin urmare, este recomandată cu tărie implementarea capacităților robuste de înregistrare a punctelor finale, inclusiv utilizarea înregistrării suplimentare la nivel de proces pentru o acoperire îmbunătățită de detectare.
