SSLoad rosszindulatú programok terjedése az adathalász kampányban

Biztonsági szakértők egy folyamatban lévő támadási stratégiát azonosítottak, amely adathalász e-maileket használ az SSLoad néven ismert rosszindulatú programok terjesztésére. A Securonix által FROZEN#SHADOW névre keresztelt kampány magában foglalja a Cobalt Strike és a ConnectWise ScreenConnect távoli asztali szoftverek telepítését.

A kutatók szerint az SSLoad-ot úgy tervezték, hogy diszkréten beszivárogjon a rendszerekbe, érzékeny adatokat gyűjtsön, és visszaküldje azokat kezelőinek. Miután bekerült egy rendszerbe, az SSLoad több hátsó ajtót és rakományt hoz létre, hogy észrevétlen és állandó maradjon.

A támadás olyan adathalász üzenetekkel kezdődik, amelyeket véletlenszerűen küldenek el Ázsiában, Európában és Amerikában. Ezek az e-mailek JavaScript-fájlokhoz vezető hivatkozásokat tartalmaznak, amelyek elindítják a fertőzési folyamatot.

Az SSLoad két különböző terjesztési útvonalat használ

A Palo Alto Networks nemrégiben két terjesztési módszert fedezett fel az SSLoad számára. Az egyik magában foglalja a rosszindulatú URL-ek beágyazását a webhely kapcsolatfelvételi űrlapjaiba, míg a másik makróképes Microsoft Word dokumentumokat használ. Ez utóbbi módszer azért figyelemre méltó, mert nemcsak az SSLoad-ot terjeszti, hanem megkönnyíti a Cobalt Strike kézbesítését is. Eközben az előbbit egy másik, Latrodectus nevű rosszindulatú program terjesztésére használták, amely potenciálisan az IcedID utódja.

Az obfuszkált JavaScript-fájl ("out_czlrh.js") lekér egy MSI-telepítőfájlt ("slack.msi") egy hálózati megosztásról, és végrehajtja azt. Az MSI-telepítő ezután felveszi a kapcsolatot a támadó által vezérelt tartományral, hogy letöltse és végrehajtsa az SSLoad kártevő rakományt. Ez a rakomány kommunikál egy parancs- és vezérlőszerverrel, információt szolgáltatva a feltört rendszerről.

A kezdeti felderítés befejeztével a Cobalt Strike bevetésre kerül. Ezt a törvényes szoftvert használják a ScreenConnect letöltésére és telepítésére, lehetővé téve a támadók számára, hogy távolról átvehessék az irányítást a gazdagép felett. A rendszerhez való teljes hozzáféréssel a támadók hitelesítési adatokat és egyéb kritikus rendszeradatokat szeretnének megszerezni, és keresik a tárolt hitelesítő adatokat és bizalmas dokumentumokat.

Megfigyelték, hogy a támadók kiterjesztik hozzáférésüket a hálózaton belül, beleértve a tartományvezérlőt is, és végül létrehozzák saját tartományadminisztrátori fiókjukat. Ez a hozzáférési szint lehetővé teszi számukra, hogy beszivárogjanak a tartományon belül bármely csatlakoztatott gépre, ami jelentős kihívást jelent a szervezetek számára.