SSLoad Malware Εξάπλωση στην καμπάνια ηλεκτρονικού ψαρέματος

Οι ειδικοί σε θέματα ασφάλειας εντόπισαν μια στρατηγική συνεχιζόμενης επίθεσης που χρησιμοποιεί μηνύματα ηλεκτρονικού ψαρέματος για τη διανομή μιας μορφής κακόβουλου λογισμικού που είναι γνωστό ως SSLoad. Με την ονομασία FROZEN#SHADOW από τη Securonix, αυτή η καμπάνια περιλαμβάνει την ανάπτυξη λογισμικού απομακρυσμένης επιφάνειας εργασίας Cobalt Strike και ConnectWise ScreenConnect.

Σύμφωνα με ερευνητές, το SSLoad έχει σχεδιαστεί για να διεισδύει διακριτικά στα συστήματα, να συλλέγει ευαίσθητα δεδομένα και να τα στέλνει πίσω στους χειριστές του. Μόλις εισέλθει σε ένα σύστημα, το SSLoad δημιουργεί πολλαπλές κερκόπορτες και ωφέλιμα φορτία για να παραμείνουν απαρατήρητοι και επίμονοι.

Η επίθεση ξεκινά με μηνύματα ηλεκτρονικού ψαρέματος που αποστέλλονται τυχαία σε οργανισμούς σε όλη την Ασία, την Ευρώπη και την Αμερική. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν συνδέσμους που οδηγούν σε αρχεία JavaScript που ξεκινούν τη διαδικασία μόλυνσης.

Το SSLoad χρησιμοποιεί δύο διαφορετικές διαδρομές διανομής

Η Palo Alto Networks αποκάλυψε πρόσφατα δύο μεθόδους διανομής για το SSLoad. Το ένα περιλαμβάνει την ενσωμάτωση κακόβουλων διευθύνσεων URL σε φόρμες επικοινωνίας ιστότοπου, ενώ το άλλο χρησιμοποιεί έγγραφα του Microsoft Word με δυνατότητα μακροεντολής. Η τελευταία μέθοδος είναι αξιοσημείωτη επειδή όχι μόνο διανέμει SSLoad αλλά διευκολύνει επίσης την παράδοση του Cobalt Strike. Εν τω μεταξύ, το πρώτο έχει χρησιμοποιηθεί για τη διανομή ενός άλλου κακόβουλου λογισμικού που ονομάζεται Latrodectus, το οποίο πιθανώς θα διαδεχθεί το IcedID.

Το ασαφές αρχείο JavaScript ("out_czlrh.js") ανακτά ένα αρχείο εγκατάστασης MSI ("slack.msi") από ένα κοινόχρηστο στοιχείο δικτύου και το εκτελεί. Στη συνέχεια, το πρόγραμμα εγκατάστασης MSI έρχεται σε επαφή με έναν τομέα που ελέγχεται από τον εισβολέα για λήψη και εκτέλεση του ωφέλιμου φορτίου κακόβουλου λογισμικού SSLoad. Αυτό το ωφέλιμο φορτίο επικοινωνεί με έναν διακομιστή εντολών και ελέγχου, παρέχοντας πληροφορίες σχετικά με το παραβιασμένο σύστημα.

Μόλις ολοκληρωθεί η αρχική αναγνώριση, το Cobalt Strike αναπτύσσεται. Αυτό το νόμιμο λογισμικό χρησιμοποιείται για τη λήψη και εγκατάσταση του ScreenConnect, επιτρέποντας στους εισβολείς να αναλάβουν τον έλεγχο του κεντρικού υπολογιστή από απόσταση. Με πλήρη πρόσβαση στο σύστημα, οι εισβολείς επιδιώκουν να αποκτήσουν διαπιστευτήρια και άλλες κρίσιμες λεπτομέρειες του συστήματος, σαρώνοντας για αποθηκευμένα διαπιστευτήρια και ευαίσθητα έγγραφα.

Οι εισβολείς έχουν παρατηρηθεί να επεκτείνουν την πρόσβασή τους εντός του δικτύου, συμπεριλαμβανομένου του ελεγκτή τομέα, δημιουργώντας τελικά τον δικό τους λογαριασμό διαχειριστή τομέα. Αυτό το επίπεδο πρόσβασης τους επιτρέπει να διεισδύσουν σε οποιοδήποτε συνδεδεμένο μηχάνημα εντός του τομέα, θέτοντας μια σημαντική πρόκληση για τους οργανισμούς να επανορθώσουν.