SSLload Malware
Nakahukay ang mga security analyst ng patuloy na cyber assault gamit ang mga phishing na email upang ipamahagi ang isang malware strain na kilala bilang SSLoad. Tinaguriang FROZEN#SHADOW, ginagamit ng campaign na ito ang Cobalt Strike kasama ng ConnectWise ScreenConnect para sa malayuang desktop access.
Ang pangunahing layunin ng SSLoad ay clandestine infiltration, data exfiltration, at palihim na komunikasyon sa command center nito. Sa paglabag, ang SSLoad ay nag-i-install ng iba't ibang mga backdoor at payload upang matiyak ang pangmatagalang presensya at maiwasan ang pagtuklas.
Talaan ng mga Nilalaman
Ang Iba't Ibang Infection Vectors na Ginagamit ng mga Cybercriminals
Kasama sa mga attack chain ang paggamit ng mga mensahe ng phishing na nagta-target sa mga organisasyon sa buong Asia, Europe at Americas. Ang mga email na ito ay naglalaman ng mga link na humahantong sa mga file ng JavaScript, na nagpapasimula sa proseso ng impeksyon.
Ang mga nakaraang natuklasan mula sa mga mananaliksik ay nagha-highlight ng dalawang natatanging paraan ng pamamahagi para sa SSLoad. Ang isang paraan ay gumagamit ng mga form sa pakikipag-ugnayan sa website upang mag-embed ng mga nakakahamak na URL, habang ang iba ay gumagamit ng mga dokumentong Microsoft Word na pinagana ng macro. Kapansin-pansin, pinapadali ng huling paraan ang paghahatid ng Cobalt Strike sa pamamagitan ng malware, habang ang una ay namamahagi ng isa pang variant ng malware na kilala bilang Latrodectus , na posibleng pumalit saIcedID .
Paano Gumagana ang SSLload Attack?
Ang nakakubli na JavaScript file ('out_czlrh.js') ay isinasagawa sa pamamagitan ng wscript.exe, na nagpapasimula ng proseso upang kunin ang isang MSI installer file ('slack.msi') mula sa isang network share sa '\wireoneinternet[.]info@80\share' . Kapag nakuha na, ang installer ay gumagamit ng msiexec.exe para tumakbo.
Kasunod nito, ang MSI installer ay nagtatatag ng pakikipag-ugnayan sa isang domain na kinokontrol ng umaatake upang makuha at i-deploy ang SSLoad malware payload sa pamamagitan ng rundll32.exe. Kasunod nito, ang nakompromisong system ay nagpapadala ng mga signal sa isang Command-and-Control (C2) server, na nagpapadala ng impormasyon.
Ang paunang yugto ng reconnaissance na ito ay nagtatakda ng yugto para sa Cobalt Strike, isang lehitimong software ng simulation ng kalaban, na ginagamit upang i-download at i-install ang ScreenConnect. Nagbibigay-daan ito sa mga aktor ng pagbabanta na makakuha ng remote control sa host.
Ang mga Attacker ay Nakakahawa ng Mga Device sa Buong Network ng Biktima at Nakompromiso ang Sensitibong Data
Sa pagkakaroon ng kumpletong pag-access sa system, ang mga aktor ng pagbabanta ay nagpasimula ng pagkuha ng kredensyal at nangangalap ng mahalagang impormasyon ng system. Sinisimulan ng mga cybercriminal ang pag-scan sa host ng biktima para sa mga nakaimbak na kredensyal sa loob ng mga file at iba pang potensyal na sensitibong dokumento.
Higit pa rito, ang mga umaatake ay nag-pivot sa iba pang mga system sa loob ng network, kabilang ang domain controller, sa huli ay nilalabag ang Windows domain ng biktima sa pamamagitan ng pagtatatag ng kanilang sariling domain administrator account.
Ang mataas na antas ng pag-access na ito ay nagbibigay ng masamang pag-iisip na mga aktor na pumasok sa anumang konektadong makina sa loob ng domain. Sa huli, kinakatawan ng sitwasyong ito ang pinakamasamang resulta para sa anumang organisasyon, dahil ang pagtitiyaga na nakamit ng mga umaatake ay nangangailangan ng mahabang panahon at mapagkukunan para sa remediation.
Gumawa ng mga Hakbang laban sa Mga Kampanya ng Pag-atake Tulad ng FROZEN#SHADOW
Ang phishing ay nananatiling nangungunang paraan para sa mga banta ng aktor na magsagawa ng matagumpay na mga paglabag, pagpapakilala ng malware at pagkompromiso sa mga internal system. Napakahalaga para sa mga gumagamit ng frontline na makilala ang mga banta na ito at maunawaan kung paano matukoy ang mga ito. Mag-ingat sa mga hindi hinihinging email, lalo na sa mga may hindi inaasahang nilalaman o isang pakiramdam ng pagkaapurahan.
Sa mga tuntunin ng pag-iwas at pagtuklas, iminumungkahi ng mga mananaliksik na pigilin ang pag-download ng mga file o mga attachment mula sa hindi kilalang mga panlabas na mapagkukunan, lalo na kung hindi sila hinihingi. Kasama sa mga karaniwang uri ng file na ginagamit sa mga pag-atake ang zip, rar, iso, at pdf, na may mga zip file na kapansin-pansing ginagamit sa kampanyang ito. Bukod pa rito, pinapayuhan ang pagsubaybay sa mga karaniwang naka-target na malware staging directories, lalo na para sa aktibidad na nauugnay sa script sa mga naisusulat na direktoryo.
Sa iba't ibang yugto ng kampanyang FROZEN#SHADOW, gumamit ang mga aktor ng pagbabanta ng mga naka-encrypt na channel sa port 443 upang maiwasan ang pagtuklas. Samakatuwid, ang pag-deploy ng matatag na mga kakayahan sa pag-log ng endpoint ay lubos na inirerekomenda, kabilang ang paggamit ng karagdagang pag-log sa antas ng proseso para sa pinahusay na saklaw ng pagtuklas.
