SSLoad มัลแวร์
นักวิเคราะห์ความปลอดภัยได้ค้นพบการโจมตีทางไซเบอร์อย่างต่อเนื่องโดยใช้อีเมลฟิชชิ่งเพื่อกระจายสายพันธุ์มัลแวร์ที่เรียกว่า SSLoad แคมเปญนี้ได้รับสมญานามว่า FROZEN#SHADOW โดยใช้ Cobalt Strike ควบคู่ไปกับ ConnectWise ScreenConnect สำหรับการเข้าถึงเดสก์ท็อประยะไกล
วัตถุประสงค์หลักของ SSLoad คือการแทรกซึมอย่างลับๆ การขโมยข้อมูล และการสื่อสารแบบซ่อนเร้นกับศูนย์บัญชาการ เมื่อมีการละเมิด SSLoad จะติดตั้งแบ็คดอร์และเพย์โหลดต่างๆ เพื่อให้มั่นใจว่ามีอยู่ในระยะยาวและหลบเลี่ยงการตรวจจับ
สารบัญ
พาหะนำการติดเชื้อแบบต่างๆ ที่อาชญากรไซเบอร์ใช้
กลุ่มการโจมตีเกี่ยวข้องกับการใช้ข้อความฟิชชิ่งที่กำหนดเป้าหมายองค์กรทั่วเอเชีย ยุโรป และอเมริกา อีเมลเหล่านี้มีลิงก์ที่นำไปสู่ไฟล์ JavaScript ซึ่งทำให้เกิดกระบวนการติดไวรัส
ผลการวิจัยก่อนหน้านี้จากนักวิจัยเน้นย้ำถึงวิธีการกระจาย SSLoad สองวิธีที่แตกต่างกัน วิธีหนึ่งใช้แบบฟอร์มติดต่อเว็บไซต์เพื่อฝัง URL ที่เป็นอันตราย ในขณะที่อีกวิธีใช้เอกสาร Microsoft Word ที่เปิดใช้งานมาโคร โดยเฉพาะอย่างยิ่ง วิธีหลังนี้อำนวยความสะดวกในการส่ง Cobalt Strike ผ่านมัลแวร์ ในขณะที่วิธีแรกเผยแพร่มัลแวร์รูปแบบอื่นที่เรียกว่า Latrodectus ซึ่งอาจประสบความสำเร็จต่อจากIcedID
การโจมตี SSLoad ทำงานอย่างไร?
ไฟล์ JavaScript ที่คลุมเครือ ('out_czlrh.js') ดำเนินการผ่าน wscript.exe เริ่มต้นกระบวนการเพื่อดึงไฟล์ตัวติดตั้ง MSI ('slack.msi') จากการแชร์เครือข่ายที่ '\wireoneinternet[.]info@80\share' . เมื่อได้รับแล้ว ตัวติดตั้งจะใช้ msiexec.exe เพื่อรัน
ต่อจากนั้น ตัวติดตั้ง MSI จะสร้างการติดต่อกับโดเมนที่ควบคุมโดยผู้โจมตีเพื่อรับและปรับใช้เพย์โหลดมัลแวร์ SSLoad ผ่าน rundll32.exe หลังจากนั้น ระบบที่ถูกบุกรุกจะส่งสัญญาณไปยังเซิร์ฟเวอร์ Command-and-Control (C2) เพื่อส่งข้อมูล
ขั้นตอนการลาดตระเวนเบื้องต้นนี้เป็นการปูทางสำหรับ Cobalt Strike ซึ่งเป็นซอฟต์แวร์จำลองฝ่ายตรงข้ามที่ถูกกฎหมาย ซึ่งใช้ในการดาวน์โหลดและติดตั้ง ScreenConnect สิ่งนี้ทำให้ผู้คุกคามสามารถควบคุมโฮสต์จากระยะไกลได้
ผู้โจมตีแพร่เชื้อไปยังอุปกรณ์ทั่วเครือข่ายของเหยื่อและประนีประนอมข้อมูลที่ละเอียดอ่อน
เมื่อได้รับการเข้าถึงระบบโดยสมบูรณ์แล้ว ผู้คุกคามจะเริ่มการได้มาซึ่งข้อมูลรับรองและรวบรวมข้อมูลระบบที่สำคัญ อาชญากรไซเบอร์จะเริ่มสแกนโฮสต์ของเหยื่อเพื่อหาข้อมูลประจำตัวที่เก็บไว้ภายในไฟล์และเอกสารที่อาจละเอียดอ่อนอื่นๆ
นอกจากนี้ ผู้โจมตียังเปลี่ยนไปยังระบบอื่นภายในเครือข่าย รวมถึงตัวควบคุมโดเมน ซึ่งท้ายที่สุดจะละเมิดโดเมน Windows ของเหยื่อด้วยการสร้างบัญชีผู้ดูแลระบบโดเมนของตนเอง
การเข้าถึงระดับสูงนี้จะทำให้ผู้ไม่ประสงค์ดีสามารถเข้าสู่เครื่องที่เชื่อมต่อภายในโดเมนได้ ท้ายที่สุดแล้ว สถานการณ์นี้แสดงให้เห็นถึงผลลัพธ์ที่เลวร้ายที่สุดสำหรับองค์กรใดๆ เนื่องจากการคงอยู่ของผู้โจมตีที่ประสบความสำเร็จนั้นจำเป็นต้องใช้เวลาและทรัพยากรที่กว้างขวางในการแก้ไข
ใช้มาตรการต่อต้านแคมเปญโจมตีเช่น FROZEN#SHADOW
ฟิชชิ่งยังคงเป็นวิธีการอันดับต้นๆ สำหรับผู้ก่อภัยคุกคามในการดำเนินการเจาะระบบที่ประสบความสำเร็จ ก่อให้เกิดมัลแวร์ และทำลายระบบภายใน เป็นสิ่งสำคัญสำหรับผู้ใช้แนวหน้าในการจดจำภัยคุกคามเหล่านี้และเข้าใจวิธีการระบุภัยคุกคามเหล่านี้ ใช้ความระมัดระวังกับอีเมลที่ไม่พึงประสงค์ โดยเฉพาะอย่างยิ่งอีเมลที่มีเนื้อหาที่ไม่คาดคิดหรือรู้สึกว่ามีความเร่งด่วน
ในแง่ของการป้องกันและการตรวจจับ นักวิจัยแนะนำให้งดเว้นจากการดาวน์โหลดไฟล์หรือสิ่งที่แนบมาจากแหล่งภายนอกที่ไม่รู้จัก โดยเฉพาะอย่างยิ่งหากไม่ได้ร้องขอ ประเภทไฟล์ทั่วไปที่ใช้ในการโจมตี ได้แก่ zip, rar, iso และ pdf โดยไฟล์ zip ที่ใช้ในแคมเปญนี้โดดเด่น นอกจากนี้ แนะนำให้ตรวจสอบไดเร็กทอรีจัดเตรียมมัลแวร์ที่กำหนดเป้าหมายโดยทั่วไป โดยเฉพาะอย่างยิ่งสำหรับกิจกรรมที่เกี่ยวข้องกับสคริปต์ในไดเร็กทอรีแบบเขียนได้
ตลอดช่วงต่างๆ ของแคมเปญ FROZEN#SHADOW ผู้คุกคามใช้ช่องทางที่เข้ารหัสบนพอร์ต 443 เพื่อหลบเลี่ยงการตรวจจับ ดังนั้นจึงขอแนะนำอย่างยิ่งให้ปรับใช้ความสามารถในการบันทึกปลายทางที่มีประสิทธิภาพ รวมถึงการใช้ประโยชน์จากการบันทึกระดับกระบวนการเพิ่มเติมเพื่อความครอบคลุมการตรวจจับที่เพิ่มขึ้น
