SS載入惡意軟體

安全分析師發現了一種持續的網路攻擊，使用網路釣魚電子郵件來傳播名為 SSLoad 的惡意軟體。該活動被稱為“FROZEN#SHADOW”，採用Cobalt Strike和 ConnectWise ScreenConnect 進行遠端桌面存取。

SSLoad 的主要目標是秘密滲透、資料外洩以及與其指揮中心的秘密通訊。一旦遭到破壞，SSLoad 就會安裝各種後門和有效負載，以確保長期存在並逃避偵測。

網路犯罪分子利用的不同感染媒介

攻擊鏈涉及利用針對亞洲、歐洲和美洲組織的網路釣魚訊息。這些電子郵件包含指向 JavaScript 文件的鏈接，從而啟動感染過程。

研究人員先前的研究結果強調了 SSLoad 的兩種不同的分配方法。一種方法利用網站聯絡表單嵌入惡意 URL，而另一種方法則採用啟用巨集的 Microsoft Word 文件。值得注意的是，後一種方法有助於透過惡意軟體傳播 Cobalt Strike，而前者則傳播另一種名為Latrodectus的惡意軟體變體，可能會繼承IcedID 。

SSLoad 攻擊如何運作？

隱藏的 JavaScript 檔案（「out_czlrh.js」）透過 wscript.exe 執行，啟動從「\wireoneinternet[.]info@80\share」的網路共用檢索 MSI 安裝程式檔案（「slack.msi」）的進程。取得後，安裝程式將使用 msiexec.exe 來運作。

隨後，MSI 安裝程式與攻擊者控制的網域建立聯繫，以透過 rundll32.exe 取得並部署 SSLoad 惡意軟體負載。隨後，受感染的系統向命令與控制 (C2) 伺服器發送訊號，傳輸訊息。

這個初始偵察階段為 Cobalt Strike 奠定了基礎，Cobalt Strike 是一種合法的對手模擬軟體，用於下載和安裝 ScreenConnect。這使得威脅參與者能夠遠端控制主機。

攻擊者透過受害者網路感染設備並洩露敏感數據

取得完整的系統存取權限後，威脅行為者會發起憑證取得並收集關鍵的系統資訊。網路犯罪分子開始掃描受害者主機，以查找文件和其他潛在敏感文件中儲存的憑證。

此外，攻擊者也轉向網路內的其他系統（包括網域控制站），最終透過建立自己的網域管理員帳戶來破壞受害者的 Windows 網域。

這種高層級存取權限允許惡意行為者存取網域內任何連接的電腦。最終，這種情況對任何組織來說都是最糟糕的結果，因為攻擊者的持久性需要大量的時間和資源來補救。

採取措施應對 FROZEN#SHADOW 等攻擊活動

網路釣魚仍然是威脅行為者成功實施破壞、引入惡意軟體和危害內部系統的首要方法。對於第一線用戶來說，識別這些威脅並了解如何識別它們至關重要。請謹慎對待未經請求的電子郵件，尤其是那些包含意外內容或緊迫感的電子郵件。

在預防和檢測方面，研究人員建議不要從未知的外部來源下載文件或附件，尤其是未經請求的文件或附件。攻擊中使用的常見檔案類型包括 zip、rar、iso 和 pdf，其中本次活動中特別使用了 zip 檔案。此外，建議監控常見目標惡意軟體暫存目錄，尤其是可寫入目錄中與腳本相關的活動。

在 FROZEN#SHADOW 活動的各個階段，威脅行為者利用連接埠 443 上的加密通道來逃避偵測。因此，強烈建議部署強大的端點日誌記錄功能，包括利用額外的進程級日誌記錄來增強偵測覆蓋範圍。