SSLoad złośliwego oprogramowania rozprzestrzeniającego się w kampanii phishingowej

Eksperci ds. bezpieczeństwa zidentyfikowali trwającą strategię ataku, która wykorzystuje wiadomości e-mail phishingowe do dystrybucji złośliwego oprogramowania znanego jako SSLoad. Kampania ta, nazwana przez Securonix FROZEN#SHADOW, obejmuje wdrożenie oprogramowania do zdalnego pulpitu Cobalt Strike i ConnectWise ScreenConnect.

Według badaczy SSLoad został zaprojektowany tak, aby dyskretnie infiltrować systemy, zbierać wrażliwe dane i wysyłać je z powrotem do operatorów. Po wejściu do systemu SSLoad ustanawia wiele backdoorów i ładunków, aby pozostały niewykryte i trwałe.

Atak rozpoczyna się od wiadomości phishingowych wysyłanych losowo do organizacji w Azji, Europie i obu Amerykach. Te e-maile zawierają łącza prowadzące do plików JavaScript inicjujących proces infekcji.

SSLoad wykorzystuje dwie różne ścieżki dystrybucji

Firma Palo Alto Networks odkryła niedawno dwie metody dystrybucji SSLoad. Jeden polega na osadzaniu złośliwych adresów URL w formularzach kontaktowych witryn internetowych, podczas gdy drugi wykorzystuje dokumenty Microsoft Word z włączoną obsługą makr. Ta ostatnia metoda jest godna uwagi, ponieważ nie tylko dystrybuuje SSLoad, ale także ułatwia dostawę Cobalt Strike. W międzyczasie ten pierwszy został wykorzystany do dystrybucji innego szkodliwego oprogramowania o nazwie Latrodectus, potencjalnie zastępującego IcedID.

Zaciemniony plik JavaScript („out_czlrh.js”) pobiera plik instalatora MSI („slack.msi”) z udziału sieciowego i wykonuje go. Instalator MSI następnie kontaktuje się z domeną kontrolowaną przez osobę atakującą w celu pobrania i uruchomienia szkodliwego oprogramowania SSLoad. Ten ładunek komunikuje się z serwerem dowodzenia i kontroli, dostarczając informacji o zaatakowanym systemie.

Po zakończeniu wstępnego rozpoznania zostaje uruchomiony Cobalt Strike. To legalne oprogramowanie służy do pobierania i instalowania ScreenConnect, umożliwiając atakującym zdalne przejęcie kontroli nad hostem. Mając pełny dostęp do systemu, napastnicy starają się uzyskać dane uwierzytelniające i inne krytyczne szczegóły systemu, skanując w poszukiwaniu przechowywanych danych uwierzytelniających i poufnych dokumentów.

Zaobserwowano, że osoby atakujące rozszerzają swój dostęp w sieci, w tym do kontrolera domeny, ostatecznie ustanawiając własne konto administratora domeny. Ten poziom dostępu umożliwia im infiltrację dowolnej podłączonej maszyny w domenie, co stanowi poważne wyzwanie dla organizacji, które muszą zaradzić.