SSLoad Kötü Amaçlı Yazılım
Güvenlik analistleri, SSLoad olarak bilinen kötü amaçlı yazılım türünü dağıtmak için kimlik avı e-postalarını kullanan kalıcı bir siber saldırıyı ortaya çıkardı. FROZEN#SHADOW olarak adlandırılan bu kampanya, uzak masaüstü erişimi için ConnectWise ScreenConnect'in yanı sıra Cobalt Strike'ı da kullanıyor.
SSLoad'ın birincil hedefi gizli sızma, veri sızması ve komuta merkeziyle gizli iletişimdir. İhlal üzerine SSLoad, uzun süreli varlık sağlamak ve tespitten kaçınmak için çeşitli arka kapılar ve yükler yükler.
İçindekiler
Siber Suçluların Kullandığı Farklı Enfeksiyon Vektörleri
Saldırı zincirleri, Asya, Avrupa ve Amerika'daki kuruluşları hedef alan kimlik avı mesajlarının kullanılmasını içerir. Bu e-postalar, enfeksiyon sürecini başlatan JavaScript dosyalarına yönlendiren bağlantılar içerir.
Araştırmacılardan elde edilen önceki bulgular, SSLoad için iki farklı dağıtım yöntemini vurguluyor. Yöntemlerden biri, kötü amaçlı URL'leri yerleştirmek için web sitesi iletişim formlarını kullanırken, diğeri makro özellikli Microsoft Word belgelerini kullanıyor. Özellikle, ikinci yöntem, Cobalt Strike'ın kötü amaçlı yazılım yoluyla dağıtımını kolaylaştırırken, ilki, potansiyel olarakIcedID'den sonra gelen Latrodectus olarak bilinen başka bir kötü amaçlı yazılım çeşidini dağıtır.
SSLoad Saldırısı Nasıl Çalışır?
Gizlenmiş JavaScript dosyası ('out_czlrh.js'), wscript.exe aracılığıyla yürütülür ve '\wireoneinternet[.]info@80\share' adresindeki bir ağ paylaşımından bir MSI yükleyici dosyasını ('slack.msi') almak için bir işlem başlatır. . Yükleyici, edinildikten sonra çalıştırmak için msiexec.exe'yi kullanır.
Daha sonra MSI yükleyicisi, Rundll32.exe aracılığıyla SSLoad kötü amaçlı yazılım yükünü almak ve dağıtmak için saldırgan tarafından kontrol edilen bir etki alanıyla bağlantı kurar. Bunu takiben, ele geçirilen sistem bir Komuta ve Kontrol (C2) sunucusuna sinyaller göndererek bilgi iletir.
Bu ilk keşif aşaması, ScreenConnect'i indirip yüklemek için kullanılan meşru bir rakip simülasyon yazılımı olan Cobalt Strike'a zemin hazırlıyor. Bu, tehdit aktörlerinin ana bilgisayar üzerinde uzaktan kontrol sahibi olmasını sağlar.
Saldırganlar, Mağdurun Ağındaki Cihazlara Bulaşır ve Hassas Verilerin Güvenliğini Ele Geçirir
Tam sisteme erişim elde eden tehdit aktörleri, kimlik bilgileri edinmeye başlar ve önemli sistem bilgilerini toplar. Siber suçlular, dosyalar ve diğer potansiyel olarak hassas belgeler içinde saklanan kimlik bilgilerini bulmak için kurbanın ana bilgisayarını taramaya başlar.
Ayrıca saldırganlar, etki alanı denetleyicisi de dahil olmak üzere ağ içindeki diğer sistemlere yönelir ve sonuçta kendi etki alanı yönetici hesabını oluşturarak kurbanın Windows etki alanını ihlal eder.
Bu yüksek düzeyde erişim, kötü niyetli aktörlerin etki alanındaki bağlı herhangi bir makineye giriş yapmasına olanak tanır. Sonuçta bu senaryo, herhangi bir kuruluş için en kötü sonucu temsil eder; zira saldırganların elde ettiği devamlılık, düzeltme için çok fazla zaman ve kaynak gerektirir.
FROZEN#SHADOW Gibi Saldırı Kampanyalarına Karşı Önlem Alın
Kimlik avı, tehdit aktörlerinin başarılı ihlaller gerçekleştirmesi, kötü amaçlı yazılım yayması ve dahili sistemleri tehlikeye atması için en iyi yöntem olmaya devam ediyor. Ön saflardaki kullanıcıların bu tehditleri tanıması ve bunları nasıl tanımlayacaklarını anlaması kritik önem taşıyor. İstenmeyen e-postalara, özellikle de beklenmedik içeriğe veya aciliyet duygusuna sahip olanlara karşı dikkatli olun.
Önleme ve tespit açısından araştırmacılar, özellikle istenmemişse, bilinmeyen dış kaynaklardan dosya veya ek indirmekten kaçınmayı öneriyor. Saldırılarda kullanılan yaygın dosya türleri arasında zip, rar, iso ve pdf yer alır ve bu kampanyada özellikle zip dosyaları kullanılmıştır. Ek olarak, özellikle yazılabilir dizinlerdeki komut dosyasıyla ilgili etkinlikler için, yaygın olarak hedeflenen kötü amaçlı yazılım hazırlama dizinlerinin izlenmesi önerilir.
FROZEN#SHADOW kampanyasının çeşitli aşamaları boyunca tehdit aktörleri, tespit edilmekten kaçınmak için 443 numaralı bağlantı noktası üzerinden şifrelenmiş kanalları kullandı. Bu nedenle, gelişmiş algılama kapsamı için ek işlem düzeyinde günlük kaydının kullanılması da dahil olmak üzere, sağlam uç nokta günlük kaydı özelliklerinin dağıtılması önemle tavsiye edilir.
