SSLad skadlig programvara
Säkerhetsanalytiker har avslöjat ett ihållande cyberangrepp med nätfiske-e-post för att distribuera en skadlig kod som kallas SSLoad. Den här kampanjen, kallad FROZEN#SHADOW, använder Cobalt Strike tillsammans med ConnectWise ScreenConnect för fjärråtkomst till skrivbordet.
SSLoads primära mål är hemlig infiltration, dataexfiltrering och smygkommunikation med dess kommandocentral. Vid intrång installerar SSLoad olika bakdörrar och nyttolaster för att säkerställa långsiktig närvaro och undvika upptäckt.
Innehållsförteckning
De olika infektionsvektorerna som används av cyberkriminella
Attackkedjor involverar användningen av nätfiskemeddelanden riktade mot organisationer över Asien, Europa och Amerika. Dessa e-postmeddelanden innehåller länkar som leder till JavaScript-filer som initierar infektionsprocessen.
Tidigare rön från forskare lyfter fram två distinkta distributionsmetoder för SSLoad. En metod använder webbplatskontaktformulär för att bädda in skadliga webbadresser, medan den andra använder makroaktiverade Microsoft Word-dokument. Noterbart underlättar den senare metoden leveransen av Cobalt Strike via skadlig kod, medan den förra distribuerar en annan skadlig kodvariant som kallas Latrodectus , som eventuellt efterträderIcedID .
Hur fungerar SSLoad-attacken?
Den dolda JavaScript-filen ('out_czlrh.js') körs via wscript.exe, och initierar en process för att hämta en MSI-installationsfil ('slack.msi') från en nätverksresurs på '\wireoneinternet[.]info@80\share' . När installationen har erhållits använder den msiexec.exe för att köras.
Därefter upprättar MSI-installationsprogrammet kontakt med en domän som kontrolleras av angriparen för att skaffa och distribuera SSLoad skadlig programvara via rundll32.exe. Efter detta skickar det komprometterade systemet signaler till en Command-and-Control-server (C2) och sänder information.
Detta första spaningsstadium sätter scenen för Cobalt Strike, en legitim simuleringsprogramvara för motståndare, som används för att ladda ner och installera ScreenConnect. Detta gör att hotaktörer kan få fjärrkontroll över värden.
Angripare infekterar enheter i offrets nätverk och äventyrar känsliga data
Efter att ha fått fullständig systemåtkomst initierar hotaktörerna inhämtning av autentiseringsuppgifter och samlar in viktig systeminformation. Cyberbrottslingar börjar skanna offervärden efter lagrade referenser i filer och andra potentiellt känsliga dokument.
Dessutom pivoterar angriparna till andra system inom nätverket, inklusive domänkontrollanten, vilket slutligen bryter mot offrets Windows-domän genom att etablera ett eget domänadministratörskonto.
Denna höga nivå av åtkomst ger illasinnade skådespelare inträde till vilken ansluten maskin som helst inom domänen. I slutändan representerar detta scenario det värsta tänkbara resultatet för alla organisationer, eftersom den uthållighet som angriparna uppnår kräver omfattande tid och resurser för sanering.
Vidta åtgärder mot attackkampanjer som FROZEN#SHADOW
Nätfiske är fortfarande den bästa metoden för hotaktörer att utföra framgångsrika intrång, introducera skadlig programvara och äventyra interna system. Det är avgörande för frontlinjeanvändare att känna igen dessa hot och förstå hur man identifierar dem. Var försiktig med oönskade e-postmeddelanden, särskilt de med oväntat innehåll eller en känsla av brådska.
När det gäller förebyggande och upptäckt föreslår forskare att man avstår från att ladda ner filer eller bilagor från okända externa källor, särskilt om de är oönskade. Vanliga filtyper som används i attacker inkluderar zip, rar, iso och pdf, med zip-filer som särskilt används i denna kampanj. Dessutom rekommenderas att övervaka kataloger för iscensättning av skadlig programvara som ofta riktas mot skadlig programvara, särskilt för skriptrelaterad aktivitet i skrivbara kataloger.
Under olika faser av FROZEN#SHADOW-kampanjen använde hotaktörer krypterade kanaler över port 443 för att undvika upptäckt. Därför rekommenderas starkt att implementera robusta slutpunktsloggningsfunktioner, inklusive utnyttjande av ytterligare loggning på processnivå för förbättrad detektionstäckning.
