SSLload Malware
Penganalisis keselamatan telah menemui serangan siber berterusan menggunakan e-mel pancingan data untuk mengedarkan jenis perisian hasad yang dikenali sebagai SSLoad. Digelar FROZEN#SHADOW, kempen ini menggunakan Cobalt Strike bersama ConnectWise ScreenConnect untuk akses desktop jauh.
Objektif utama SSLoad ialah penyusupan rahsia, penyingkiran data dan komunikasi tersembunyi dengan pusat arahannya. Apabila dilanggar, SSLoad memasang pelbagai pintu belakang dan muatan untuk memastikan kehadiran jangka panjang dan mengelakkan pengesanan.
Isi kandungan
Vektor Jangkitan Berbeza Digunakan oleh Penjenayah Siber
Rantaian serangan melibatkan penggunaan mesej pancingan data yang menyasarkan organisasi di seluruh Asia, Eropah dan Amerika. E-mel ini mengandungi pautan yang membawa kepada fail JavaScript, yang memulakan proses jangkitan.
Penemuan terdahulu daripada penyelidik menyerlahkan dua kaedah pengedaran yang berbeza untuk SSLload. Satu kaedah menggunakan borang hubungan tapak web untuk membenamkan URL berniat jahat, manakala kaedah yang lain menggunakan dokumen Microsoft Word yang didayakan makro. Terutama sekali, kaedah yang kedua memudahkan penghantaran Cobalt Strike melalui perisian hasad, manakala yang pertama mengedarkan satu lagi varian perisian hasad dikenali sebagai Latrodectus , yang berpotensi menggantikanIcedID .
Bagaimanakah Serangan SSLload Beroperasi?
Fail JavaScript yang dikaburkan ('out_czlrh.js') dilaksanakan melalui wscript.exe, memulakan proses untuk mendapatkan semula fail pemasang MSI ('slack.msi') daripada perkongsian rangkaian di '\wireoneinternet[.]info@80\share' . Setelah diperoleh, pemasang menggunakan msiexec.exe untuk dijalankan.
Selepas itu, pemasang MSI menjalin hubungan dengan domain yang dikawal oleh penyerang untuk memperoleh dan menggunakan muatan perisian hasad SSLoad melalui rundll32.exe. Berikutan ini, sistem yang terjejas menghantar isyarat kepada pelayan Command-and-Control (C2), menghantar maklumat.
Peringkat peninjauan awal ini menetapkan peringkat untuk Cobalt Strike, perisian simulasi musuh yang sah, yang digunakan untuk memuat turun dan memasang ScreenConnect. Ini membolehkan pelaku ancaman mendapatkan kawalan jauh ke atas hos.
Penyerang Menjangkiti Peranti Merentasi Rangkaian Mangsa dan Mengkompromi Data Sensitif
Setelah mendapat akses sistem yang lengkap, pelaku ancaman memulakan pemerolehan kelayakan dan mengumpulkan maklumat sistem yang penting. Penjenayah siber mula mengimbas hos mangsa untuk mendapatkan bukti kelayakan yang disimpan dalam fail dan dokumen lain yang berpotensi sensitif.
Tambahan pula, penyerang berputar ke sistem lain dalam rangkaian, termasuk pengawal domain, akhirnya melanggar domain Windows mangsa dengan menubuhkan akaun pentadbir domain mereka sendiri.
Tahap akses yang tinggi ini memberikan kemasukan pelakon yang tidak berakal ke mana-mana mesin yang disambungkan dalam domain. Akhirnya, senario ini mewakili hasil kes terburuk bagi mana-mana organisasi, kerana kegigihan yang dicapai oleh penyerang memerlukan masa dan sumber yang banyak untuk pemulihan.
Ambil Tindakan terhadap Kempen Serangan Seperti FROZEN#SHADOW
Pancingan data kekal sebagai kaedah teratas bagi pelaku ancaman untuk melaksanakan pelanggaran yang berjaya, memperkenalkan perisian hasad dan menjejaskan sistem dalaman. Adalah penting bagi pengguna barisan hadapan untuk mengenali ancaman ini dan memahami cara mengenal pastinya. Berhati-hati dengan e-mel yang tidak diminta, terutamanya yang mempunyai kandungan yang tidak dijangka atau rasa terdesak.
Dari segi pencegahan dan pengesanan, penyelidik mencadangkan agar tidak memuat turun fail atau lampiran daripada sumber luaran yang tidak diketahui, terutamanya jika ia tidak diminta. Jenis fail yang biasa digunakan dalam serangan termasuk zip, rar, iso dan pdf, dengan fail zip digunakan terutamanya dalam kempen ini. Selain itu, pemantauan direktori pementasan perisian hasad yang biasa disasarkan adalah dinasihatkan, terutamanya untuk aktiviti berkaitan skrip dalam direktori boleh tulis.
Sepanjang pelbagai fasa kempen FROZEN#SHADOW, pelaku ancaman menggunakan saluran yang disulitkan melalui port 443 untuk mengelakkan pengesanan. Oleh itu, menggunakan keupayaan pembalakan titik akhir yang mantap adalah amat disyorkan, termasuk memanfaatkan pembalakan peringkat proses tambahan untuk liputan pengesanan yang dipertingkatkan.
