Istraživači cyber sigurnosti otkrili su tekuću napadnu kampanju koja koristi phishing emailove za isporuku zlonamjernog softvera pod nazivom SSLoad .
Kampanja, kodnog naziva FROZEN#SHADOW od strane Securonixa, uključuje implementaciju Cobalt Strike i ConnectWise ScreenConnect softvera za udaljenu radnu površinu.
“SSLoad je dizajniran da se prikriveno infiltrira u sisteme, prikuplja osjetljive informacije i prenosi svoje nalaze nazad svojim operaterima”, rekli su istraživači sigurnosti Den Iuzvyk, Tim Peck i Oleg Kolesnikov u izvještaju koji je podijeljen za The Hacker News.
“Jednom u sistemu, SSLoad postavlja više backdoor-a i korisnih opterećenja kako bi održao postojanost i izbjegao otkrivanje.”
Lanci napada uključuju upotrebu phishing poruka za nasumično ciljanje organizacija u Aziji, Evropi i Americi, s e-porukama koje sadrže veze koje vode do preuzimanja JavaScript datoteke koja pokreće tok infekcije.
Ranije ovog mjeseca, Palo Alto Networks je otkrio najmanje dvije različite metode distribucije SSLoad-a.
Prva metoda uključuje korištenje obrazaca za kontakt na web stranici za ugrađivanje URL-ova koji su zarobljeni.
Druga metoda uključuje Microsoft Word dokumente s omogućenim makroima.Ovo posljednje je takođe značajan po činjenici da zlonamjerni softver djeluje kao kanal za isporuku Cobalt Strikea, dok je prvi korišten za isporuku drugačijeg malvera pod nazivom Latrodectus , vjerovatnog nasljednika IcedID-a.
Zamagljeni JavaScript fajl (“out_czlrh.js”), kada se pokrene i pokrene pomoću wscript.exe , preuzima MSI instalacioni fajl (“slack.msi”) povezivanjem na mrežni deo koji se nalazi na “\\wireoneinternet[.]info@ 80\share\” i pokreće ga pomoću msiexec.exe .
MSI instalater, sa svoje strane, kontaktira domen koji kontroliše napadač kako bi dohvatio i izvršio SSLoad zlonamerni softver koristeći rundll32.exe , nakon čega se prenosi na server za komandu i kontrolu (C2) zajedno sa informacijama o kompromitovanom sistemu.
Početna faza izviđanja utire put za Cobalt Strike, legitimni softver za simulaciju protivnika, koji se zatim koristi za preuzimanje i instaliranje ScreenConnect-a, čime se omogućava hakerima da daljinski preuzmu host.
“Sa potpunim pristupom sistemu, hakeri su počeli pokušavati da pribave vjerodajnice i prikupe druge kritične podatke o sistemu”, rekli su istraživači. “U ovoj fazi počeli su da skeniraju host žrtve u potrazi za vjerodajnicama pohranjenim u datotekama, kao i drugim potencijalno osjetljivim dokumentima.”
Napadači su takođe primijećeni kako se okreću prema drugim sistemima u mreži, uključujući kontroler domena, i na kraju se infiltriraju u Windows domen žrtve kreiranjem vlastitog administratorskog naloga.
“Sa ovim nivoom pristupa, mogli bi ući u bilo koju povezanu mašinu unutar domena”, rekli su istraživači. “Na kraju, ovo je najgori scenario za bilo koju organizaciju jer bi ovaj nivo upornosti koji su postigli napadači zahtjevao nevjerovatno mnogo vremena i skupo saniranje.”
Otkrivanje dolazi kada je AhnLab Security Intelligence Center (ASEC) otkrio da su Linux sistemi zaraženi trojanom otvorenog koda za daljinski pristup pod nazivom Pupy RAT .
Izvor:The Hacker News
