SSLలోడ్ మాల్వేర్

భద్రతా విశ్లేషకులు SSLoad అని పిలవబడే మాల్వేర్ స్ట్రెయిన్‌ను పంపిణీ చేయడానికి ఫిషింగ్ ఇమెయిల్‌లను ఉపయోగించి నిరంతర సైబర్ దాడిని కనుగొన్నారు. FROZEN#SHADOWగా పిలువబడే ఈ ప్రచారం రిమోట్ డెస్క్‌టాప్ యాక్సెస్ కోసం ConnectWise ScreenConnectతో పాటు కోబాల్ట్ స్ట్రైక్‌ను ఉపయోగిస్తుంది.

SSLoad యొక్క ప్రాథమిక లక్ష్యం రహస్య చొరబాటు, డేటా వెలికితీత మరియు దాని కమాండ్ సెంటర్‌తో రహస్య సంభాషణ. ఉల్లంఘన జరిగినప్పుడు, SSLoad దీర్ఘకాలిక ఉనికిని నిర్ధారించడానికి మరియు గుర్తింపును తప్పించుకోవడానికి వివిధ బ్యాక్‌డోర్‌లు మరియు పేలోడ్‌లను ఇన్‌స్టాల్ చేస్తుంది.

సైబర్ నేరగాళ్లు ఉపయోగించే వివిధ ఇన్ఫెక్షన్ వెక్టర్స్

దాడి గొలుసులు ఆసియా, యూరప్ మరియు అమెరికా అంతటా ఉన్న సంస్థలను లక్ష్యంగా చేసుకుని ఫిషింగ్ సందేశాల వినియోగాన్ని కలిగి ఉంటాయి. ఈ ఇమెయిల్‌లు జావాస్క్రిప్ట్ ఫైల్‌లకు దారితీసే లింక్‌లను కలిగి ఉంటాయి, సంక్రమణ ప్రక్రియను ప్రారంభిస్తాయి.

పరిశోధకుల నుండి మునుపటి పరిశోధనలు SSLoad కోసం రెండు విభిన్న పంపిణీ పద్ధతులను హైలైట్ చేస్తాయి. ఒక పద్ధతి హానికరమైన URLలను పొందుపరచడానికి వెబ్‌సైట్ సంప్రదింపు ఫారమ్‌లను ఉపయోగిస్తుంది, మరొక పద్ధతి స్థూల-ప్రారంభించబడిన Microsoft Word డాక్యుమెంట్‌లను ఉపయోగిస్తుంది. ముఖ్యంగా, తరువాతి పద్ధతి మాల్వేర్ ద్వారా కోబాల్ట్ స్ట్రైక్ డెలివరీని సులభతరం చేస్తుంది, అయితే మునుపటిది లాట్రోడెక్టస్ అని పిలువబడే మరొక మాల్వేర్ వేరియంట్‌ను పంపిణీ చేస్తుంది, ఇదిIcedIDని విజయవంతం చేస్తుంది.

SSLoad అటాక్ ఎలా పనిచేస్తుంది?

అస్పష్టంగా ఉన్న JavaScript ఫైల్ ('out_czlrh.js') wscript.exe ద్వారా అమలు చేయబడుతుంది, '\wireoneinternet[.]info@80\share'లో నెట్‌వర్క్ భాగస్వామ్యం నుండి MSI ఇన్‌స్టాలర్ ఫైల్ ('slack.msi')ని తిరిగి పొందే ప్రక్రియను ప్రారంభిస్తుంది. . ఒకసారి పొందిన తర్వాత, ఇన్‌స్టాలర్ అమలు చేయడానికి msiexec.exeని ఉపయోగిస్తుంది.

తదనంతరం, MSI ఇన్‌స్టాలర్ rundll32.exe ద్వారా SSLoad మాల్వేర్ పేలోడ్‌ను పొందేందుకు మరియు అమలు చేయడానికి దాడి చేసేవారిచే నియంత్రించబడే డొమైన్‌తో పరిచయాన్ని ఏర్పరుస్తుంది. దీన్ని అనుసరించి, రాజీపడిన సిస్టమ్ సమాచారాన్ని ప్రసారం చేస్తూ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు సంకేతాలను పంపుతుంది.

స్క్రీన్‌కనెక్ట్‌ని డౌన్‌లోడ్ చేయడానికి మరియు ఇన్‌స్టాల్ చేయడానికి ఉపయోగించబడే చట్టబద్ధమైన వ్యతిరేక అనుకరణ సాఫ్ట్‌వేర్ అయిన కోబాల్ట్ స్ట్రైక్‌కు ఈ ప్రారంభ నిఘా దశ వేదికను నిర్దేశిస్తుంది. ఇది హోస్ట్‌పై రిమోట్ కంట్రోల్‌ని పొందడానికి ముప్పు నటులను అనుమతిస్తుంది.

దాడి చేసేవారు బాధితుల నెట్‌వర్క్‌లోని పరికరాలను ఇన్‌ఫెక్ట్ చేస్తారు మరియు సున్నితమైన డేటాను రాజీ చేస్తారు

పూర్తి సిస్టమ్ యాక్సెస్‌ను పొందిన తరువాత, ముప్పు నటులు ఆధారాలను పొందడం ప్రారంభిస్తారు మరియు కీలకమైన సిస్టమ్ సమాచారాన్ని సేకరిస్తారు. సైబర్ నేరస్థులు ఫైల్‌లు మరియు ఇతర సున్నితమైన పత్రాలలో నిల్వ చేసిన ఆధారాల కోసం బాధితుడు హోస్ట్‌ను స్కాన్ చేయడం ప్రారంభిస్తారు.

ఇంకా, దాడి చేసేవారు డొమైన్ కంట్రోలర్‌తో సహా నెట్‌వర్క్‌లోని ఇతర సిస్టమ్‌లకు పైవట్ చేస్తారు, చివరికి వారి స్వంత డొమైన్ అడ్మినిస్ట్రేటర్ ఖాతాను స్థాపించడం ద్వారా బాధితుల Windows డొమైన్‌ను ఉల్లంఘిస్తారు.

ఈ అధిక స్థాయి యాక్సెస్ డొమైన్‌లోని ఏదైనా కనెక్ట్ చేయబడిన మెషీన్‌కు చెడు మనస్సు గల నటులకు ప్రవేశాన్ని మంజూరు చేస్తుంది. అంతిమంగా, ఈ దృష్టాంతం ఏ సంస్థకైనా చెత్త ఫలితాన్ని సూచిస్తుంది, ఎందుకంటే దాడి చేసేవారు సాధించే పట్టుదలకు పరిష్కారం కోసం విస్తృతమైన సమయం మరియు వనరులు అవసరం.

FROZEN#SHADOW వంటి దాడి ప్రచారాలకు వ్యతిరేకంగా చర్యలు తీసుకోండి

ఫిషింగ్ అనేది ముప్పు నటులకు విజయవంతమైన ఉల్లంఘనలను అమలు చేయడానికి, మాల్వేర్‌ను పరిచయం చేయడానికి మరియు అంతర్గత సిస్టమ్‌లను రాజీ చేయడానికి అగ్ర పద్ధతిగా ఉంది. ఫ్రంట్‌లైన్ వినియోగదారులు ఈ బెదిరింపులను గుర్తించడం మరియు వాటిని ఎలా గుర్తించాలో అర్థం చేసుకోవడం చాలా కీలకం. అయాచిత ఇమెయిల్‌లతో జాగ్రత్త వహించండి, ముఖ్యంగా ఊహించని కంటెంట్ లేదా ఆవశ్యకత ఉన్న ఇమెయిల్‌లు.

నివారణ మరియు గుర్తింపు పరంగా, తెలియని బాహ్య మూలాల నుండి ఫైల్‌లు లేదా జోడింపులను డౌన్‌లోడ్ చేయడం మానుకోవాలని పరిశోధకులు సూచిస్తున్నారు, ప్రత్యేకించి అవి అయాచితంగా ఉంటే. దాడులలో ఉపయోగించే సాధారణ ఫైల్ రకాలు జిప్, రార్, ఐసో మరియు పిడిఎఫ్, ముఖ్యంగా ఈ ప్రచారంలో జిప్ ఫైల్‌లు ఉపయోగించబడతాయి. అదనంగా, సాధారణంగా టార్గెట్ చేయబడిన మాల్వేర్ స్టేజింగ్ డైరెక్టరీలను పర్యవేక్షించడం మంచిది, ముఖ్యంగా వ్రాయదగిన డైరెక్టరీలలో స్క్రిప్ట్-సంబంధిత కార్యాచరణ కోసం.

FROZEN#SHADOW ప్రచారం యొక్క వివిధ దశల్లో, బెదిరింపు నటులు గుర్తింపును తప్పించుకోవడానికి పోర్ట్ 443లో ఎన్‌క్రిప్టెడ్ ఛానెల్‌లను ఉపయోగించారు. అందువల్ల, మెరుగైన గుర్తింపు కవరేజ్ కోసం అదనపు ప్రాసెస్-లెవల్ లాగింగ్‌ను ఉపయోగించడంతో సహా, బలమైన ఎండ్‌పాయింట్ లాగింగ్ సామర్థ్యాలను అమలు చేయడం గట్టిగా సిఫార్సు చేయబడింది.