SSLoad-Malware
Sicherheitsanalysten haben einen hartnäckigen Cyberangriff aufgedeckt, bei dem Phishing-E-Mails zum Einsatz kamen, um eine Malware-Variante namens SSLoad zu verbreiten. Diese Kampagne mit dem Namen FROZEN#SHADOW nutzt Cobalt Strike zusammen mit ConnectWise ScreenConnect für den Remote-Desktop-Zugriff.
Das Hauptziel von SSLoad ist die heimliche Infiltration, Datenexfiltration und heimliche Kommunikation mit seiner Kommandozentrale. Bei einem Einbruch installiert SSLoad verschiedene Hintertüren und Payloads, um eine langfristige Präsenz sicherzustellen und der Erkennung zu entgehen.
Inhaltsverzeichnis
Die verschiedenen Infektionsvektoren, die von Cyberkriminellen genutzt werden
Angriffsketten umfassen die Verwendung von Phishing-Nachrichten, die auf Organisationen in Asien, Europa und Amerika abzielen. Diese E-Mails enthalten Links, die zu JavaScript-Dateien führen und den Infektionsprozess einleiten.
Frühere Erkenntnisse von Forschern heben zwei unterschiedliche Verbreitungsmethoden für SSLoad hervor. Eine Methode verwendet Website-Kontaktformulare, um bösartige URLs einzubetten, während die andere Methode Microsoft Word-Dokumente mit Makros verwendet. Insbesondere erleichtert die letztere Methode die Verbreitung von Cobalt Strike über Malware, während die erstere eine andere Malware-Variante namens Latrodectus verbreitet, die möglicherweise die Nachfolge vonIcedID antritt.
Wie funktioniert der SSLoad-Angriff?
Die verschleierte JavaScript-Datei („out_czlrh.js“) wird über wscript.exe ausgeführt und initiiert einen Prozess zum Abrufen einer MSI-Installationsdatei („slack.msi“) von einer Netzwerkfreigabe unter „\wireoneinternet[.]info@80\share“. Nach dem Abrufen verwendet das Installationsprogramm msiexec.exe zum Ausführen.
Anschließend stellt das MSI-Installationsprogramm Kontakt zu einer vom Angreifer kontrollierten Domäne her, um die SSLoad-Malware-Nutzlast über rundll32.exe abzurufen und bereitzustellen. Anschließend sendet das kompromittierte System Signale an einen Command-and-Control-Server (C2) und überträgt Informationen.
Diese erste Aufklärungsphase bereitet den Boden für Cobalt Strike, eine legitime Software zur Simulation von Angreifern, die zum Herunterladen und Installieren von ScreenConnect verwendet wird. Auf diese Weise können Bedrohungsakteure die Fernsteuerung des Hosts erlangen.
Angreifer infizieren Geräte im gesamten Netzwerk des Opfers und gefährden vertrauliche Daten
Nachdem sie vollständigen Systemzugriff erlangt haben, beginnen die Bedrohungsakteure mit der Erfassung von Anmeldeinformationen und sammeln wichtige Systeminformationen. Cyberkriminelle beginnen mit der Suche nach gespeicherten Anmeldeinformationen in Dateien und anderen potenziell vertraulichen Dokumenten auf dem Host des Opfers.
Darüber hinaus konzentrieren sich die Angreifer auf andere Systeme innerhalb des Netzwerks, einschließlich des Domänencontrollers, und dringen letztlich in die Windows-Domäne des Opfers ein, indem sie ihr eigenes Domänenadministratorkonto einrichten.
Dieser hohe Zugriffslevel ermöglicht böswilligen Akteuren den Zugriff auf alle verbundenen Rechner innerhalb der Domäne. Letztendlich stellt dieses Szenario den schlimmsten Fall für jede Organisation dar, da die von den Angreifern erreichte Hartnäckigkeit viel Zeit und Ressourcen zur Behebung erfordert.
Ergreifen Sie Maßnahmen gegen Angriffskampagnen wie FROZEN#SHADOW
Phishing ist nach wie vor die beliebteste Methode für Angreifer, um erfolgreich Sicherheitsverletzungen zu begehen, Malware einzuschleusen und interne Systeme zu kompromittieren. Für Frontline-Benutzer ist es von entscheidender Bedeutung, diese Bedrohungen zu erkennen und zu wissen, wie sie identifiziert werden können. Seien Sie vorsichtig bei unerwünschten E-Mails, insbesondere solchen mit unerwartetem Inhalt oder einem Gefühl der Dringlichkeit.
In Bezug auf Prävention und Erkennung empfehlen die Forscher, keine Dateien oder Anhänge aus unbekannten externen Quellen herunterzuladen, insbesondere wenn diese unaufgefordert sind. Zu den bei Angriffen häufig verwendeten Dateitypen gehören ZIP, RAR, ISO und PDF, wobei bei dieser Kampagne insbesondere ZIP-Dateien verwendet wurden. Darüber hinaus wird empfohlen, die Staging-Verzeichnisse, auf die häufig Malware abzielt, zu überwachen, insbesondere auf skriptbezogene Aktivitäten in beschreibbaren Verzeichnissen.
In verschiedenen Phasen der FROZEN#SHADOW-Kampagne nutzten Bedrohungsakteure verschlüsselte Kanäle über Port 443, um der Erkennung zu entgehen. Daher wird dringend empfohlen, robuste Endpunktprotokollierungsfunktionen bereitzustellen, einschließlich der Nutzung zusätzlicher Protokollierung auf Prozessebene für eine verbesserte Erkennungsabdeckung.
