SSLoad kenkėjiškų programų plitimas sukčiavimo kampanijoje

Saugumo ekspertai nustatė besitęsiančią atakų strategiją, kuri naudoja sukčiavimo el. laiškus, kad platintų kenkėjišką programą, žinomą kaip SSLoad. Ši kampanija, kurią Securonix pavadino FROZEN#SHADOW, apima „Cobalt Strike“ ir „ConnectWise ScreenConnect“ nuotolinio darbalaukio programinės įrangos diegimą.

Tyrėjų teigimu, SSLoad sukurta taip, kad diskretiškai įsiskverbtų į sistemas, rinktų neskelbtinus duomenis ir siųstų juos atgal savo operatoriams. Patekęs į sistemą, SSLoad sukuria kelias užpakalines duris ir naudingus krovinius, kad liktų nepastebėti ir patvarūs.

Išpuolis prasideda nuo sukčiavimo pranešimų, atsitiktinai siunčiamų organizacijoms visoje Azijoje, Europoje ir Amerikoje. Šiuose el. laiškuose yra nuorodų, nukreipiančių į „JavaScript“ failus, kurie inicijuoja infekcijos procesą.

SSLoad naudoja du skirtingus platinimo kelius

„Palo Alto Networks“ neseniai atskleidė du „SSLoad“ platinimo būdus. Vienas apima kenkėjiškų URL įterpimą į svetainės kontaktines formas, o kitas naudoja makrokomandas įgalintus Microsoft Word dokumentus. Pastarasis metodas vertas dėmesio, nes jis ne tik platina SSLoad, bet ir palengvina Cobalt Strike pristatymą. Tuo tarpu pirmasis buvo naudojamas platinti kitą kenkėjišką programą, vadinamą Latrodectus, galinčią pakeisti IcedID.

Užtemdytas „JavaScript“ failas („out_czlrh.js“) nuskaito MSI diegimo programos failą („slack.msi“) iš tinklo bendro naudojimo ir jį vykdo. Tada MSI diegimo programa susisiekia su užpuoliko valdomu domenu, kad atsisiųstų ir paleistų SSLoad kenkėjiškų programų naudingąją apkrovą. Šis naudingasis krovinys palaiko ryšį su komandų ir valdymo serveriu, teikdamas informaciją apie pažeistą sistemą.

Baigus pradinę žvalgybą, „Cobalt Strike“ dislokuojamas. Ši teisėta programinė įranga naudojama atsisiųsti ir įdiegti „ScreenConnect“, leidžiančią užpuolikams nuotoliniu būdu perimti pagrindinio kompiuterio valdymą. Turėdami visišką prieigą prie sistemos, užpuolikai siekia gauti kredencialus ir kitą svarbią sistemos informaciją, nuskaitydami saugomus kredencialus ir slaptus dokumentus.

Pastebėta, kad užpuolikai plečia savo prieigą tinkle, įskaitant domeno valdiklį, ir galiausiai sukuria savo domeno administratoriaus paskyrą. Šis prieigos lygis leidžia jiems įsiskverbti į bet kurį prijungtą domeno įrenginį, todėl organizacijoms kyla didelis iššūkis, kurį reikia ištaisyti.