SSLoad 恶意软件

安全分析师发现了一次持续的网络攻击，该攻击使用网络钓鱼电子邮件来传播一种名为 SSLodl 的恶意软件。该活动被称为 FROZEN#SHADOW，它使用Cobalt Strike和 ConnectWise ScreenConnect 进行远程桌面访问。

SSLoad 的主要目标是秘密渗透、数据泄露以及与其指挥中心进行秘密通信。一旦被攻破，SSLoad 就会安装各种后门和有效载荷，以确保长期存在并逃避检测。

网络犯罪分子利用的不同感染媒介

攻击链涉及利用针对亚洲、欧洲和美洲组织的网络钓鱼邮件。这些电子邮件包含指向 JavaScript 文件的链接，从而启动感染过程。

研究人员先前的研究结果强调了 SSLoad 的两种不同传播方法。一种方法利用网站联系表单嵌入恶意 URL，而另一种方法则使用启用宏的 Microsoft Word 文档。值得注意的是，后一种方法有助于通过恶意软件传播 Cobalt Strike，而前者则传播另一种名为Latrodectus 的恶意软件变体，可能继任IcedID 。

SSLoad 攻击如何运作？

隐藏的 JavaScript 文件（“out_czlrh.js”）通过 wscript.exe 执行，启动一个进程，从位于“\wireoneinternet[.]info@80\share”的网络共享中检索 MSI 安装程序文件（“slack.msi”）。获取后，安装程序将利用 msiexec.exe 运行。

随后，MSI 安装程序与攻击者控制的域建立联系，通过 rundll32.exe 获取并部署 SSLoad 恶意软件负载。随后，受感染的系统向命令和控制 (C2) 服务器发送信号，传输信息。

这一初始侦察阶段为合法对手模拟软件 Cobalt Strike 奠定了基础，该软件用于下载和安装 ScreenConnect。这使威胁行为者能够远程控制主机。

攻击者感染受害者网络中的设备并窃取敏感数据

获得完整的系统访问权限后，威胁行为者开始获取凭证并收集关键系统信息。网络犯罪分子开始扫描受害主机，查找文件和其他潜在敏感文档中存储的凭证。

此外，攻击者还转向网络内的其他系统，包括域控制器，最终通过建立自己的域管理员帐户侵入受害者的 Windows 域。

这种高级别的访问权限允许恶意攻击者进入域内的任何已连接机器。最终，这种情况代表了任何组织的最坏结果，因为攻击者的持久性需要大量时间和资源进行补救。

采取措施抵御类似“FROZEN#SHADOW”的攻击活动

网络钓鱼仍然是威胁者成功实施入侵、引入恶意软件和破坏内部系统的主要方法。对于一线用户来说，识别这些威胁并了解如何识别它们至关重要。对未经请求的电子邮件要谨慎，尤其是那些内容出乎意料或有紧迫感的电子邮件。

在预防和检测方面，研究人员建议不要从未知的外部来源下载文件或附件，尤其是未经请求的。攻击中使用的常见文件类型包括 zip、rar、iso 和 pdf，其中 zip 文件在这次活动中被特别使用。此外，建议监控常见的恶意软件暂存目录，尤其是可写目录中的脚本相关活动。

在 FROZEN#SHADOW 活动的各个阶段，威胁行为者都利用端口 443 上的加密通道来逃避检测。因此，强烈建议部署强大的端点日志记录功能，包括利用额外的进程级日志记录来增强检测覆盖率。