SSLoad 恶意软件在网络钓鱼活动中传播
安全专家发现了一种正在进行的攻击策略,该策略利用网络钓鱼电子邮件来传播一种名为 SSLoad 的恶意软件。该活动被 Securonix 称为 FROZEN#SHADOW,涉及部署 Cobalt Strike 和 ConnectWise ScreenConnect 远程桌面软件。
据研究人员称,SSLoad 的设计初衷是秘密渗透系统、收集敏感数据,并将其发送回操作员。一旦进入系统,SSLoad 就会建立多个后门和有效载荷,以保持不被发现和持久性。
攻击始于随机向亚洲、欧洲和美洲的组织发送网络钓鱼邮件。这些电子邮件包含指向启动感染过程的 JavaScript 文件的链接。
SSLoad 使用两种不同的分发路径
Palo Alto Networks 最近发现了 SSLoad 的两种分发方法。一种方法是将恶意 URL 嵌入网站联系表单,另一种方法是使用启用宏的 Microsoft Word 文档。后一种方法值得注意,因为它不仅分发 SSLoad,还有助于传播 Cobalt Strike。同时,前一种方法已用于分发另一种名为 Latrodectus 的恶意软件,该恶意软件可能是 IcedID 的继任者。
经过混淆的 JavaScript 文件(“out_czlrh.js”)从网络共享中检索 MSI 安装程序文件(“slack.msi”)并执行它。然后,MSI 安装程序联系攻击者控制的域,下载并执行 SSLoad 恶意软件负载。此负载与命令和控制服务器通信,提供有关受感染系统的信息。
初步侦察完成后,Cobalt Strike 开始部署。这款合法软件用于下载和安装 ScreenConnect,允许攻击者远程控制主机。攻击者获得系统的完全访问权限后,会试图获取凭证和其他关键系统详细信息,扫描存储的凭证和敏感文档。
据观察,攻击者正在扩大其在网络中的访问权限,包括对域控制器的访问权限,最终建立自己的域管理员帐户。这种访问级别使他们能够渗透到域内的任何连接机器,这对组织的补救构成了重大挑战。