SSLoad Malware
Bezpečnostní analytici odhalili pretrvávajúci kybernetický útok pomocou phishingových e-mailov na distribúciu škodlivého softvéru známeho ako SSLoad. Táto kampaň s názvom FROZEN#SHADOW využíva Cobalt Strike spolu s ConnectWise ScreenConnect na vzdialený prístup k ploche.
Primárnym cieľom SSLoad je tajná infiltrácia, exfiltrácia údajov a skrytá komunikácia s jeho veliteľským centrom. Pri porušení nainštaluje SSLoad rôzne zadné vrátka a užitočné zaťaženie, aby sa zabezpečila dlhodobá prítomnosť a zabránilo sa detekcii.
Obsah
Rôzne infekčné vektory využívané počítačovými zločincami
Útočné reťazce zahŕňajú využívanie phishingových správ zameraných na organizácie v Ázii, Európe a Amerike. Tieto e-maily obsahujú odkazy vedúce k súborom JavaScript, ktoré spúšťajú proces infekcie.
Predchádzajúce zistenia výskumníkov zdôrazňujú dve odlišné distribučné metódy pre SSLoad. Jedna metóda využíva kontaktné formuláre webových stránok na vkladanie škodlivých adries URL, zatiaľ čo druhá využíva dokumenty Microsoft Word s podporou makier. Je pozoruhodné, že druhá metóda uľahčuje doručovanie Cobalt Strike prostredníctvom malvéru, zatiaľ čo prvá z nich distribuuje iný variant malvéru známy ako Latrodectus , ktorý potenciálne nahradíIcedID .
Ako funguje SSLoad Attack?
Skrytý súbor JavaScript ('out_czlrh.js') sa spustí cez wscript.exe, čím sa spustí proces na získanie inštalačného súboru MSI ('slack.msi') zo sieťového zdieľania na adrese '\wireoneinternet[.]info@80\share' . Po získaní inštalačný program používa na spustenie msiexec.exe.
Následne inštalačný program MSI nadviaže kontakt s doménou kontrolovanou útočníkom, aby získal a nasadil malvér SSLoad cez rundll32.exe. Potom kompromitovaný systém odošle signály na server Command-and-Control (C2) a odošle informácie.
Toto počiatočné štádium prieskumu pripravuje pôdu pre Cobalt Strike, legitímny simulačný softvér protivníka, ktorý sa používa na stiahnutie a inštaláciu ScreenConnect. To umožňuje aktérom hrozby získať vzdialenú kontrolu nad hostiteľom.
Útočníci infikujú zariadenia v sieti obete a kompromitujú citlivé údaje
Po získaní úplného prístupu do systému, aktéri hrozby iniciujú získavanie poverení a zbierajú dôležité systémové informácie. Kyberzločinci začnú skenovať hostiteľa obete, aby našli uložené poverenia v súboroch a iných potenciálne citlivých dokumentoch.
Okrem toho sa útočníci priklonia k iným systémom v sieti, vrátane radiča domény, čím nakoniec narušia doménu Windows obete vytvorením vlastného účtu správcu domény.
Táto vysoká úroveň prístupu umožňuje zle zmýšľajúcim hercom prístup k akémukoľvek pripojenému stroju v rámci domény. V konečnom dôsledku tento scenár predstavuje najhorší možný výsledok pre každú organizáciu, pretože vytrvalosť, ktorú útočníci dosiahli, si vyžaduje rozsiahly čas a zdroje na nápravu.
Prijmite opatrenia proti útočným kampaniam ako FROZEN#SHADOW
Phishing zostáva hlavnou metódou pre aktérov hrozieb na úspešné narušenie, zavádzanie škodlivého softvéru a kompromitovanie interných systémov. Pre používateľov v prvej línii je mimoriadne dôležité rozpoznať tieto hrozby a pochopiť, ako ich identifikovať. Pri nevyžiadaných e-mailoch, najmä s neočakávaným obsahom alebo pocitom naliehavosti, buďte opatrní.
Pokiaľ ide o prevenciu a detekciu, výskumníci navrhujú zdržať sa sťahovania súborov alebo príloh z neznámych externých zdrojov, najmä ak sú nevyžiadané. Bežné typy súborov používané pri útokoch zahŕňajú zip, rar, iso a pdf, pričom v tejto kampani sa používajú najmä súbory zip. Okrem toho sa odporúča monitorovať bežne cielené adresáre na prípravu škodlivého softvéru, najmä v prípade aktivity súvisiacej so skriptom v zapisovateľných adresároch.
Počas rôznych fáz kampane FROZEN#SHADOW využívali aktéri hrozieb šifrované kanály cez port 443, aby sa vyhli detekcii. Preto sa dôrazne odporúča nasadiť robustné možnosti protokolovania koncových bodov vrátane využitia dodatočného protokolovania na úrovni procesu na vylepšené pokrytie detekcie.
