SSLЗагрузка вредоносного ПО
Аналитики безопасности обнаружили постоянную кибератаку с использованием фишинговых писем для распространения вредоносного ПО, известного как SSLoad. В этой кампании, получившей название FROZEN#SHADOW, используется Cobalt Strike вместе с ConnectWise ScreenConnect для удаленного доступа к рабочему столу.
Основная цель SSLoad — тайное проникновение, утечка данных и тайная связь с командным центром. При взломе SSLoad устанавливает различные бэкдоры и полезные нагрузки, чтобы обеспечить долгосрочное присутствие и избежать обнаружения.
Оглавление
Различные векторы заражения, используемые киберпреступниками
Цепочки атак включают использование фишинговых сообщений, нацеленных на организации в Азии, Европе и Америке. Эти электронные письма содержат ссылки, ведущие на файлы JavaScript, инициирующие процесс заражения.
Предыдущие выводы исследователей указывают на два различных метода распространения SSLoad. Один метод использует контактные формы веб-сайта для внедрения вредоносных URL-адресов, а другой использует документы Microsoft Word с поддержкой макросов. Примечательно, что последний метод облегчает доставку Cobalt Strike через вредоносное ПО, тогда как первый распространяет другой вариант вредоносного ПО, известный как Latrodectus , потенциально пришедший на сменуIcedID .
Как работает атака SSLLoad?
Скрытый файл JavaScript («out_czlrh.js») выполняется через wscript.exe, запуская процесс получения файла установщика MSI («slack.msi») из общего сетевого ресурса по адресу «\wireoneinternet[.]info@80\share». . После получения установщик использует для запуска msiexec.exe.
Впоследствии установщик MSI устанавливает контакт с доменом, контролируемым злоумышленником, для получения и развертывания вредоносной нагрузки SSLoad через rundll32.exe. После этого скомпрометированная система отправляет сигналы на сервер управления (C2), передавая информацию.
Этот начальный этап разведки готовит почву для Cobalt Strike, законного программного обеспечения для моделирования действий противника, которое используется для загрузки и установки ScreenConnect. Это позволяет злоумышленникам получить удаленный контроль над хостом.
Злоумышленники заражают устройства в сети жертвы и подвергают риску конфиденциальные данные
Получив полный доступ к системе, злоумышленники инициируют получение учетных данных и собирают важную системную информацию. Киберпреступники начинают сканировать хост-жертву на наличие учетных данных, хранящихся в файлах и других потенциально конфиденциальных документах.
Кроме того, злоумышленники обращаются к другим системам в сети, включая контроллер домена, в конечном итоге взламывая домен Windows жертвы, создавая собственную учетную запись администратора домена.
Этот высокий уровень доступа предоставляет злоумышленникам доступ к любой подключенной машине в домене. В конечном счете, этот сценарий представляет собой наихудший исход для любой организации, поскольку настойчивость, достигнутая злоумышленниками, требует много времени и ресурсов для исправления ситуации.
Примите меры против таких атак, как FROZEN#SHADOW
Фишинг остается для злоумышленников основным методом успешных взломов, внедрения вредоносного ПО и компрометации внутренних систем. Для пользователей, находящихся на передовой линии, крайне важно распознавать эти угрозы и понимать, как их идентифицировать. Будьте осторожны с нежелательными электронными письмами, особенно с неожиданным содержанием или с ощущением срочности.
Что касается предотвращения и обнаружения, исследователи предлагают воздерживаться от загрузки файлов или вложений из неизвестных внешних источников, особенно если они не запрошены. Распространенные типы файлов, используемые в атаках, включают zip, rar, iso и pdf, причем в этой кампании особенно использовались zip-файлы. Кроме того, рекомендуется отслеживать часто используемые промежуточные каталоги вредоносных программ, особенно активность, связанную со сценариями, в каталогах, доступных для записи.
На различных этапах кампании FROZEN#SHADOW злоумышленники использовали зашифрованные каналы через порт 443, чтобы избежать обнаружения. Следовательно, настоятельно рекомендуется развернуть надежные возможности ведения журнала конечных точек, включая использование дополнительного ведения журнала на уровне процесса для расширенного охвата обнаружения.
