SSLoad Malware
Varnostni analitiki so odkrili vztrajen kibernetski napad z uporabo lažnih e-poštnih sporočil za distribucijo vrste zlonamerne programske opreme, znane kot SSLoad. Ta kampanja, poimenovana FROZEN#SHADOW, uporablja Cobalt Strike poleg ConnectWise ScreenConnect za dostop do oddaljenega namizja.
Primarni cilj SSLoad je tajna infiltracija, ekstrakcija podatkov in prikrita komunikacija z njegovim ukaznim centrom. Po vdoru SSLoad namesti različna stranska vrata in koristne obremenitve, da zagotovi dolgoročno prisotnost in se izogne odkrivanju.
Kazalo
Različni vektorji okužbe, ki jih uporabljajo kibernetski kriminalci
Verige napadov vključujejo uporabo lažnih sporočil, ki ciljajo na organizacije po vsej Aziji, Evropi in Ameriki. Ta e-poštna sporočila vsebujejo povezave do datotek JavaScript, ki sprožijo postopek okužbe.
Prejšnje ugotovitve raziskovalcev poudarjajo dve različni distribucijski metodi za SSLoad. Ena metoda uporablja kontaktne obrazce spletnega mesta za vdelavo zlonamernih URL-jev, druga pa uporablja dokumente Microsoft Word, ki podpirajo makro. Predvsem slednja metoda olajša dostavo Cobalt Strike prek zlonamerne programske opreme, medtem ko prva distribuira drugo različico zlonamerne programske opreme, znano kot Latrodectus , ki bi lahko nasledilaIcedID .
Kako deluje napad SSLoad?
Zakrita datoteka JavaScript ('out_czlrh.js') se izvaja prek wscript.exe in sproži postopek za pridobivanje namestitvene datoteke MSI ('slack.msi') iz omrežne skupne rabe na '\wireoneinternet[.]info@80\share' . Ko je namestitveni program pridobljen, za zagon uporabi msiexec.exe.
Nato namestitveni program MSI vzpostavi stik z domeno, ki jo nadzira napadalec, da prek rundll32.exe pridobi in uvede zlonamerno programsko opremo SSLoad. Po tem ogroženi sistem pošlje signale strežniku za upravljanje in nadzor (C2), ki prenaša informacije.
Ta začetna stopnja izvidovanja postavlja temelje za Cobalt Strike, zakonito programsko opremo za simulacijo nasprotnika, ki se uporablja za prenos in namestitev ScreenConnect. To akterjem groženj omogoča daljinski nadzor nad gostiteljem.
Napadalci okužijo naprave v omrežju žrtve in ogrozijo občutljive podatke
Po pridobitvi popolnega dostopa do sistema akterji grožnje sprožijo pridobivanje poverilnic in zberejo ključne sistemske informacije. Kibernetski kriminalci začnejo skenirati gostitelja žrtve za shranjene poverilnice v datotekah in drugih potencialno občutljivih dokumentih.
Poleg tega se napadalci obrnejo na druge sisteme v omrežju, vključno s krmilnikom domene, in na koncu vdrejo v žrtvino domeno Windows z vzpostavitvijo lastnega skrbniškega računa domene.
Ta visoka stopnja dostopa omogoča slaboumnim akterjem dostop do katerega koli povezanega stroja znotraj domene. Navsezadnje ta scenarij predstavlja najslabši možni izid za katero koli organizacijo, saj vztrajnost, ki jo dosežejo napadalci, zahteva veliko časa in sredstev za sanacijo.
Sprejmite ukrepe proti napadalnim kampanjam, kot je FROZEN#SHADOW
Lažno predstavljanje ostaja najboljša metoda za akterje groženj za izvajanje uspešnih vdorov, uvajanje zlonamerne programske opreme in ogrožanje notranjih sistemov. Za prve uporabnike je ključnega pomena, da te grožnje prepoznajo in razumejo, kako jih prepoznati. Bodite previdni pri nezaželenih e-poštnih sporočilih, zlasti tistih z nepričakovano vsebino ali občutkom nujnosti.
Kar zadeva preprečevanje in odkrivanje, raziskovalci predlagajo, da se vzdržite prenosa datotek ali prilog iz neznanih zunanjih virov, zlasti če so nenaročene. Pogoste vrste datotek, ki se uporabljajo v napadih, vključujejo zip, rar, iso in pdf, pri čemer so v tej kampanji zlasti uporabljene datoteke zip. Poleg tega je priporočljivo spremljanje pogosto usmerjenih uprizoritvenih imenikov zlonamerne programske opreme, zlasti za dejavnosti, povezane s skripti, v zapisljivih imenikih.
V različnih fazah kampanje FROZEN#SHADOW so akterji groženj uporabljali šifrirane kanale prek vrat 443, da bi se izognili odkrivanju. Zato je močno priporočljiva uvedba robustnih zmožnosti beleženja končne točke, vključno z uporabo dodatnega beleženja na ravni procesa za izboljšano pokritost zaznavanja.
