Phần mềm độc hại SSLload

Các nhà phân tích bảo mật đã phát hiện ra một cuộc tấn công mạng dai dẳng bằng cách sử dụng email lừa đảo để phát tán một loại phần mềm độc hại có tên SSLoad. Được đặt tên là FROZEN#SHADOW, chiến dịch này sử dụng Cobalt Strike cùng với ConnectWise ScreenConnect để truy cập máy tính từ xa.

Mục tiêu chính của SSLoad là xâm nhập bí mật, lấy cắp dữ liệu và liên lạc lén lút với trung tâm chỉ huy của nó. Khi vi phạm, SSLoad sẽ cài đặt nhiều cửa hậu và tải trọng khác nhau để đảm bảo sự hiện diện lâu dài và tránh bị phát hiện.

Các vectơ lây nhiễm khác nhau được tội phạm mạng sử dụng

Chuỗi tấn công liên quan đến việc sử dụng các tin nhắn lừa đảo nhắm mục tiêu vào các tổ chức trên khắp Châu Á, Châu Âu và Châu Mỹ. Những email này chứa các liên kết dẫn đến tệp JavaScript, bắt đầu quá trình lây nhiễm.

Những phát hiện trước đây của các nhà nghiên cứu nêu bật hai phương pháp phân phối riêng biệt cho SSLLoad. Một phương pháp sử dụng biểu mẫu liên hệ của trang web để nhúng các URL độc hại, trong khi phương pháp kia sử dụng các tài liệu Microsoft Word hỗ trợ macro. Đáng chú ý, phương pháp sau tạo điều kiện thuận lợi cho việc phân phối Cobalt Strike thông qua phần mềm độc hại, trong khi phương pháp trước phân phối một biến thể phần mềm độc hại khác có tên Latrodectus , có khả năng thành côngIcedID .

Cuộc tấn công SSLload hoạt động như thế nào?

Tệp JavaScript bị che khuất ('out_czlrh.js') thực thi thông qua wscript.exe, bắt đầu quá trình truy xuất tệp trình cài đặt MSI ('slack.msi') từ mạng chia sẻ tại '\wireoneinternet[.]info@80\share' . Sau khi có được, trình cài đặt sẽ sử dụng msiexec.exe để chạy.

Sau đó, trình cài đặt MSI thiết lập liên hệ với miền do kẻ tấn công kiểm soát để lấy và triển khai tải trọng phần mềm độc hại SSLoad thông qua rundll32.exe. Sau đó, hệ thống bị xâm nhập sẽ gửi tín hiệu đến máy chủ Chỉ huy và Kiểm soát (C2), truyền thông tin.

Giai đoạn trinh sát ban đầu này tạo tiền đề cho Cobalt Strike, một phần mềm mô phỏng đối thủ hợp pháp, được sử dụng để tải xuống và cài đặt ScreenConnect. Điều này cho phép các tác nhân đe dọa giành được quyền kiểm soát từ xa đối với máy chủ.

Kẻ tấn công lây nhiễm các thiết bị trên mạng của nạn nhân và xâm phạm dữ liệu nhạy cảm

Sau khi có được quyền truy cập hệ thống hoàn chỉnh, các tác nhân đe dọa bắt đầu thu thập thông tin xác thực và thu thập thông tin quan trọng của hệ thống. Tội phạm mạng bắt đầu quét máy chủ nạn nhân để tìm thông tin xác thực được lưu trữ trong các tệp và các tài liệu có khả năng nhạy cảm khác.

Hơn nữa, những kẻ tấn công xoay sang các hệ thống khác trong mạng, bao gồm cả bộ điều khiển miền, cuối cùng xâm phạm miền Windows của nạn nhân bằng cách thiết lập tài khoản quản trị viên miền của riêng họ.

Mức độ truy cập cao này cấp cho những kẻ xấu có quyền truy cập vào bất kỳ máy được kết nối nào trong miền. Cuối cùng, kịch bản này thể hiện kết quả tồi tệ nhất đối với bất kỳ tổ chức nào, vì sự tồn tại dai dẳng của những kẻ tấn công đòi hỏi phải có nhiều thời gian và nguồn lực để khắc phục.

Thực hiện các biện pháp chống lại các chiến dịch tấn công như FROZEN#SHADOW

Lừa đảo vẫn là phương pháp hàng đầu để các tác nhân đe dọa thực hiện các hành vi vi phạm thành công, giới thiệu phần mềm độc hại và xâm phạm hệ thống nội bộ. Điều quan trọng là người dùng tuyến đầu phải nhận ra những mối đe dọa này và hiểu cách xác định chúng. Hãy thận trọng với những email không được yêu cầu, đặc biệt là những email có nội dung không mong muốn hoặc có cảm giác cấp bách.

Về mặt ngăn chặn và phát hiện, các nhà nghiên cứu khuyên bạn không nên tải xuống tệp hoặc tệp đính kèm từ các nguồn bên ngoài không xác định, đặc biệt nếu chúng không được yêu cầu. Các loại tệp phổ biến được sử dụng trong các cuộc tấn công bao gồm zip, rar, iso và pdf, với các tệp zip được sử dụng đáng chú ý trong chiến dịch này. Ngoài ra, bạn nên giám sát các thư mục dàn dựng phần mềm độc hại được nhắm mục tiêu phổ biến, đặc biệt đối với hoạt động liên quan đến tập lệnh trong các thư mục có thể ghi.

Trong suốt các giai đoạn khác nhau của chiến dịch FROZEN#SHADOW, các tác nhân đe dọa đã sử dụng các kênh được mã hóa qua cổng 443 để tránh bị phát hiện. Do đó, chúng tôi đặc biệt khuyến khích triển khai khả năng ghi nhật ký điểm cuối mạnh mẽ, bao gồm cả việc tận dụng tính năng ghi nhật ký cấp quy trình bổ sung để nâng cao phạm vi phát hiện.