ССЛоад Малваре
Безбедносни аналитичари су открили упорни сајбер напад коришћењем пхисхинг порука е-поште за дистрибуцију малвера познатог као ССЛоад. Названа ФРОЗЕН#СХАДОВ, ова кампања користи Цобалт Стрике заједно са ЦоннецтВисе СцреенЦоннецт за приступ удаљеној радној површини.
Примарни циљ ССЛоад-а је тајна инфилтрација, ексфилтрација података и тајна комуникација са његовим командним центром. Након кршења, ССЛоад инсталира различита позадинска врата и корисна оптерећења како би осигурала дуготрајно присуство и избјегла откривање.
Преглед садржаја
Различити вектори инфекције које користе сајбер криминалци
Ланци напада укључују коришћење пхисхинг порука које циљају организације широм Азије, Европе и Америке. Ове е-поруке садрже везе које воде до ЈаваСцрипт датотека, чиме се покреће процес инфекције.
Претходни налази истраживача истичу две различите методе дистрибуције за ССЛоад. Један метод користи обрасце за контакт на веб локацији за уграђивање злонамерних УРЛ адреса, док други користи Мицрософт Ворд документе са омогућеним макроима. Приметно је да ова друга метода олакшава испоруку Цобалт Стрике-а путем малвера, док прва дистрибуира другу варијанту злонамерног софтвера познату као Латродецтус , која потенцијално наследиИцедИД .
Како функционише ССЛоад напад?
Замагљена ЈаваСцрипт датотека ('оут_цзлрх.јс') се извршава преко всцрипт.еке, иницира процес за преузимање МСИ инсталационе датотеке ('слацк.мси') са мрежног дељења на '\виреонеинтернет[.]инфо@80\схаре' . Када се добије, инсталатер користи мсиекец.еке за покретање.
Након тога, МСИ инсталатер успоставља контакт са доменом који контролише нападач да би преузео и применио ССЛоад садржај малвера преко рундлл32.еке. Након тога, компромитовани систем шаље сигнале серверу за команду и контролу (Ц2), преносећи информације.
Ова почетна фаза извиђања поставља сцену за Цобалт Стрике, легитимни софтвер за симулацију противника, који се користи за преузимање и инсталирање СцреенЦоннецт-а. Ово омогућава актерима претњи да добију даљинску контролу над хостом.
Нападачи инфицирају уређаје широм мреже жртве и компромитују осетљиве податке
Пошто добију потпуни приступ систему, актери претњи покрећу аквизицију акредитива и прикупљају кључне информације о систему. Сајбер криминалци почињу да скенирају хост жртве у потрази за ускладиштеним акредитивима у датотекама и другим потенцијално осетљивим документима.
Штавише, нападачи се окрећу другим системима унутар мреже, укључујући и контролер домена, на крају провале Виндовс домен жртве успостављањем сопственог администраторског налога домена.
Овај висок ниво приступа омогућава злонамерним актерима улазак на било коју повезану машину унутар домена. На крају крајева, овај сценарио представља најгори исход за било коју организацију, јер упорност коју постижу нападачи захтева много времена и ресурса за санацију.
Предузмите мере против кампања напада као што је ФРОЗЕН#СХАДОВ
„Пецање“ остаје главни метод за актере претњи да изврше успешне повреде, увођење малвера и компромитовање унутрашњих система. За кориснике на првој линији од кључног је значаја да препознају ове претње и разумеју како да их идентификују. Будите опрезни са нежељеним имејловима, посебно онима са неочекиваним садржајем или осећањем хитности.
У смислу превенције и откривања, истраживачи предлажу да се уздрже од преузимања датотека или прилога из непознатих спољних извора, посебно ако су нежељени. Уобичајени типови датотека који се користе у нападима укључују зип, рар, исо и пдф, са зип датотекама које се посебно користе у овој кампањи. Поред тога, саветује се надгледање често циљаних директоријума за постављање малвера, посебно за активности везане за скрипте у директоријумима за писање.
Током различитих фаза кампање ФРОЗЕН#СХАДОВ, актери претњи су користили шифроване канале преко порта 443 да би избегли откривање. Стога се снажно препоручује примена робусних могућности евидентирања крајњих тачака, укључујући коришћење додатног евидентирања на нивоу процеса за побољшану покривеност откривањем.
