フィッシングキャンペーンで拡散するSSLoadマルウェア
セキュリティ専門家は、フィッシング メールを利用して SSLoad と呼ばれるマルウェアを配布する進行中の攻撃戦略を特定しました。Securonix が FROZEN#SHADOW と名付けたこの攻撃には、Cobalt Strike と ConnectWise ScreenConnect リモート デスクトップ ソフトウェアの導入が含まれます。
研究者によると、SSLoad は、ひそかにシステムに侵入し、機密データを収集して、それをオペレーターに送り返すように設計されています。SSLoad は、システム内に侵入すると、複数のバックドアとペイロードを確立し、検出されずに永続的に存在します。
攻撃は、アジア、ヨーロッパ、南北アメリカの組織にランダムに送信されるフィッシング メッセージから始まります。これらのメールには、感染プロセスを開始する JavaScript ファイルへのリンクが含まれています。
SSLoadは2つの異なる配布パスを使用する
Palo Alto Networks は最近、SSLoad の 2 つの配布方法を発見しました。1 つは Web サイトの問い合わせフォームに悪意のある URL を埋め込む方法、もう 1 つはマクロが有効になっている Microsoft Word ドキュメントを使用する方法です。後者の方法は、SSLoad を配布するだけでなく、Cobalt Strike の配信も容易にするため注目に値します。一方、前者は IcedID の後継となる可能性のある Latrodectus と呼ばれる別のマルウェアの配布に使用されています。
難読化された JavaScript ファイル ("out_czlrh.js") は、ネットワーク共有から MSI インストーラー ファイル ("slack.msi") を取得して実行します。その後、MSI インストーラーは攻撃者が管理するドメインに接続し、SSLoad マルウェア ペイロードをダウンロードして実行します。このペイロードはコマンド アンド コントロール サーバーと通信し、侵害されたシステムに関する情報を提供します。
最初の偵察が完了すると、Cobalt Strike が展開されます。この正規のソフトウェアは ScreenConnect のダウンロードとインストールに使用され、攻撃者はリモートからホストを制御できるようになります。攻撃者はシステムへの完全なアクセス権を得て、保存されている資格情報や機密文書をスキャンし、資格情報やその他の重要なシステム詳細を入手しようとします。
攻撃者は、ドメイン コントローラを含むネットワーク内でのアクセスを拡大し、最終的に独自のドメイン管理者アカウントを確立していることが確認されています。このレベルのアクセスにより、攻撃者はドメイン内の接続されたマシンに侵入できるため、組織にとって修復が大きな課題となります。