SSLoad spridning av skadlig programvara i nätfiskekampanj
Säkerhetsexperter har identifierat en pågående attackstrategi som använder nätfiske-e-post för att distribuera en form av skadlig programvara som kallas SSLoad. Den här kampanjen, kallad FROZEN#SHADOW av Securonix, involverar distribution av programvaran Cobalt Strike och ConnectWise ScreenConnect för fjärrskrivbord.
Enligt forskare är SSLoad konstruerad för att diskret infiltrera system, samla in känslig data och skicka tillbaka den till sina operatörer. Väl inne i ett system etablerar SSLoad flera bakdörrar och nyttolaster för att förbli oupptäckta och beständiga.
Attacken börjar med nätfiskemeddelanden som skickas slumpmässigt till organisationer i Asien, Europa och Amerika. Dessa e-postmeddelanden innehåller länkar som leder till JavaScript-filer som initierar infektionsprocessen.
SSLoad använder två olika distributionsvägar
Palo Alto Networks avslöjade nyligen två distributionsmetoder för SSLoad. Den ena handlar om att bädda in skadliga webbadresser i webbplatsens kontaktformulär, medan den andra använder makroaktiverade Microsoft Word-dokument. Den senare metoden är anmärkningsvärd eftersom den inte bara distribuerar SSLoad utan också underlättar leveransen av Cobalt Strike. Samtidigt har den förstnämnda använts för att distribuera en annan skadlig kod som heter Latrodectus, som potentiellt kommer efter IcedID.
Den obfuskerade JavaScript-filen ("out_czlrh.js") hämtar en MSI-installationsfil ("slack.msi") från en nätverksresurs och kör den. MSI-installationsprogrammet kontaktar sedan en domän som kontrolleras av angriparen för att ladda ner och köra SSLoad skadlig programvara. Denna nyttolast kommunicerar med en kommando-och-kontrollserver och tillhandahåller information om det komprometterade systemet.
När den första spaningen är klar, sätts Cobalt Strike ut. Denna legitima programvara används för att ladda ner och installera ScreenConnect, vilket gör att angriparna kan ta kontroll över värden på distans. Med full tillgång till systemet försöker angriparna få inloggningsuppgifter och andra viktiga systemdetaljer, genom att skanna efter lagrade referenser och känsliga dokument.
Angriparna har observerats utöka sin åtkomst inom nätverket, inklusive till domänkontrollanten, och i slutändan etablera sitt eget domänadministratörskonto. Denna åtkomstnivå gör det möjligt för dem att infiltrera vilken ansluten dator som helst inom domänen, vilket innebär en betydande utmaning för organisationer att åtgärda.