Шкідливе програмне забезпечення SSLoad
Аналітики безпеки виявили постійну кібератаку з використанням фішингових електронних листів для розповсюдження шкідливого програмного забезпечення, відомого як SSLoad. Ця кампанія під назвою FROZEN#SHADOW використовує Cobalt Strike разом із ConnectWise ScreenConnect для віддаленого доступу до робочого столу.
Основною метою SSLoad є таємне проникнення, викрадання даних і таємний зв’язок із його командним центром. Після злому SSLoad встановлює різні бекдори та корисні навантаження, щоб забезпечити тривалу присутність і уникнути виявлення.
Зміст
Різні вектори інфекції, якими користуються кіберзлочинці
Ланцюги атак включають використання фішингових повідомлень, націлених на організації в Азії, Європі та Америці. Ці листи містять посилання на файли JavaScript, які ініціюють процес зараження.
Попередні висновки дослідників виділяють два різні методи розповсюдження для SSLoad. Один із методів використовує контактні форми веб-сайту для вбудовування шкідливих URL-адрес, а інший використовує документи Microsoft Word із підтримкою макросів. Примітно, що останній метод полегшує доставку Cobalt Strike через зловмисне програмне забезпечення, тоді як перший поширює інший варіант зловмисного програмного забезпечення, відомий як Latrodectus , який потенційно приходить на змінуIcedID .
Як працює атака SSLoad?
Прихований файл JavaScript ('out_czlrh.js') виконується через wscript.exe, ініціюючи процес отримання файлу інсталятора MSI ('slack.msi') із спільної мережі за адресою '\wireoneinternet[.]info@80\share' . Після отримання програма встановлення використовує для запуску msiexec.exe.
Згодом інсталятор MSI встановлює контакт із доменом, контрольованим зловмисником, щоб отримати та розгорнути шкідливе програмне забезпечення SSLoad через rundll32.exe. Після цього скомпрометована система надсилає сигнали на сервер командування та контролю (C2), передаючи інформацію.
Цей початковий етап розвідки закладає основу для Cobalt Strike, законного програмного забезпечення для симуляції противника, яке використовується для завантаження та встановлення ScreenConnect. Це дозволяє суб’єктам загрози отримати дистанційний контроль над хостом.
Зловмисники заражають пристрої по всій мережі жертви та компрометують конфіденційні дані
Отримавши повний доступ до системи, зловмисники ініціюють отримання облікових даних і збирають важливу інформацію про систему. Кіберзлочинці починають сканувати хост-жертву на предмет збережених облікових даних у файлах та інших потенційно конфіденційних документах.
Крім того, зловмисники переходять на інші системи в мережі, включаючи контролер домену, зрештою порушуючи домен Windows жертви, створюючи власний обліковий запис адміністратора домену.
Цей високий рівень доступу надає зловмисникам доступ до будь-якої підключеної машини в домені. Зрештою, цей сценарій представляє найгірший результат для будь-якої організації, оскільки наполегливість, досягнута зловмисниками, потребує значного часу та ресурсів для усунення.
Вживайте заходів проти кампаній атак, таких як FROZEN#SHADOW
Фішинг залишається найпопулярнішим методом для зловмисників для здійснення успішних зламів, запроваджуючи зловмисне програмне забезпечення та компрометуючи внутрішні системи. Для перших користувачів дуже важливо розпізнати ці загрози та зрозуміти, як їх ідентифікувати. Будьте обережні з небажаними електронними листами, особливо з неочікуваним вмістом або відчуттям терміновості.
З точки зору запобігання та виявлення, дослідники пропонують утримуватися від завантаження файлів або вкладень із невідомих зовнішніх джерел, особливо якщо вони небажані. Поширені типи файлів, які використовуються в атаках, включають zip, rar, iso та pdf, зокрема файли zip, які використовуються в цій кампанії. Крім того, рекомендується відстежувати типові каталоги розміщення зловмисного програмного забезпечення, особливо для пов’язаної зі сценарієм активності в каталогах, доступних для запису.
Протягом різних етапів кампанії FROZEN#SHADOW зловмисники використовували зашифровані канали через порт 443, щоб уникнути виявлення. Тому настійно рекомендується розгортати надійні можливості ведення журналів кінцевих точок, включаючи використання додаткового журналювання на рівні процесу для розширеного охоплення виявлення.
