SSLoad Malware
Analistët e sigurisë kanë zbuluar një sulm të vazhdueshëm kibernetik duke përdorur email phishing për të shpërndarë një lloj malware të njohur si SSLoad. E quajtur FROZEN#SHADOW, kjo fushatë përdor Cobalt Strike së bashku me ConnectWise ScreenConnect për qasje në desktop në distancë.
Objektivi kryesor i SSLoad është infiltrimi klandestin, ekfiltrimi i të dhënave dhe komunikimi i fshehtë me qendrën e tij komanduese. Pas shkeljes, SSLoad instalon dyer të pasme dhe ngarkesa të ndryshme për të siguruar praninë afatgjatë dhe shmangien e zbulimit.
Tabela e Përmbajtjes
Vektorët e ndryshëm të infeksionit të përdorur nga kriminelët kibernetikë
Zinxhirët e sulmeve përfshijnë përdorimin e mesazheve phishing që synojnë organizatat në të gjithë Azinë, Evropën dhe Amerikën. Këto email përmbajnë lidhje që çojnë në skedarët JavaScript, duke filluar procesin e infektimit.
Gjetjet e mëparshme nga studiuesit nxjerrin në pah dy metoda të dallueshme të shpërndarjes për SSLoad. Njëra metodë përdor format e kontaktit të uebsajtit për të futur URL-të me qëllim të keq, ndërsa tjetra përdor dokumente të Microsoft Word të aktivizuara makro. Veçanërisht, metoda e fundit lehtëson shpërndarjen e Cobalt Strike përmes malware, ndërsa e para shpërndan një variant tjetër malware të njohur si Latrodectus , potencialisht pasues iIcedID .
Si funksionon sulmi SSLoad?
Skedari i panjohur JavaScript ('out_czlrh.js') ekzekutohet përmes wscript.exe, duke filluar një proces për të marrë një skedar instaluesi MSI ('slack.msi') nga një ndarje rrjeti në '\wireoneinternet[.]info@80\share' . Pasi të merret, instaluesi përdor msiexec.exe për të ekzekutuar.
Më pas, instaluesi MSI vendos kontakt me një domen të kontrolluar nga sulmuesi për të marrë dhe vendosur ngarkesën e malware SSLoad nëpërmjet rundll32.exe. Pas kësaj, sistemi i komprometuar dërgon sinjale në një server Command-and-Control (C2), duke transmetuar informacion.
Kjo fazë fillestare e zbulimit vendos skenën për Cobalt Strike, një softuer legjitim simulues i kundërshtarit, i cili përdoret për të shkarkuar dhe instaluar ScreenConnect. Kjo u mundëson aktorëve të kërcënimit të fitojnë kontroll në distancë mbi hostin.
Sulmuesit infektojnë pajisjet nëpër rrjetin e viktimës dhe komprometojnë të dhëna të ndjeshme
Pasi kanë fituar akses të plotë në sistem, aktorët e kërcënimit nisin marrjen e kredencialeve dhe mbledhin informacione të rëndësishme të sistemit. Kriminelët kibernetikë fillojnë të skanojnë hostin e viktimës për kredencialet e ruajtura brenda skedarëve dhe dokumenteve të tjera potencialisht të ndjeshme.
Për më tepër, sulmuesit i drejtohen sistemeve të tjera brenda rrjetit, duke përfshirë kontrolluesin e domenit, duke shkelur përfundimisht domenin Windows të viktimës duke krijuar llogarinë e tyre të administratorit të domenit.
Ky nivel i lartë aksesi u jep aktorëve me mendje të keqe hyrjen në çdo makinë të lidhur brenda domenit. Në fund të fundit, ky skenar përfaqëson rezultatin më të keq për çdo organizatë, pasi këmbëngulja e arritur nga sulmuesit kërkon kohë dhe burime të gjera për riparim.
Merrni masa kundër fushatave të sulmit si FROZEN#SHADOW
Phishing mbetet metoda kryesore për aktorët e kërcënimit për të ekzekutuar shkelje të suksesshme, duke futur malware dhe duke kompromentuar sistemet e brendshme. Është thelbësore që përdoruesit e vijës së parë të njohin këto kërcënime dhe të kuptojnë se si t'i identifikojnë ato. Tregoni kujdes me emailet e pakërkuara, veçanërisht ato me përmbajtje të papritur ose një ndjenjë urgjence.
Për sa i përket parandalimit dhe zbulimit, studiuesit sugjerojnë që të përmbahen nga shkarkimi i skedarëve ose bashkëngjitjeve nga burime të jashtme të panjohura, veçanërisht nëse ato janë të pakërkuara. Llojet e zakonshme të skedarëve të përdorur në sulme përfshijnë zip, rar, iso dhe pdf, me skedarë zip të përdorur veçanërisht në këtë fushatë. Për më tepër, këshillohet monitorimi i direktorive të vendosjes së malware të synuar zakonisht, veçanërisht për aktivitetet e lidhura me skriptet në drejtoritë e shkrueshme.
Gjatë gjithë fazave të ndryshme të fushatës FROZEN#SHADOW, aktorët e kërcënimit përdorën kanale të koduara mbi portin 443 për të shmangur zbulimin. Prandaj, rekomandohet fuqimisht vendosja e aftësive të fuqishme të regjistrimit të pikës fundore, duke përfshirë shfrytëzimin e regjistrimeve shtesë të nivelit të procesit për mbulim të zgjeruar të zbulimit.
