Các nhà nghiên cứu chi tiết hệ thống tấn công đa tầng với SSLoad, Cobalt Strike


 Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch tấn công đang diễn ra tận dụng các email lừa đảo để phát tán phần mềm độc hại có tên SSLoad.

Chiến dịch, có tên mã FROZEN#SHADOW bởi Securonix, cũng liên quan đến việc triển khai Cobalt Strike và phần mềm máy tính từ xa ConnectWise ScreenConnect.

"SSLoad được thiết kế để lén lút xâm nhập vào các hệ thống, thu thập thông tin nhạy cảm và truyền lại những phát hiện của nó cho các nhà khai thác", các nhà nghiên cứu bảo mật Den Iuzvyk, Tim Peck và Oleg Kolesnikov cho biết trong một báo cáo được chia sẻ với The Hacker News.

"Khi vào bên trong hệ thống, SSLoad triển khai nhiều backdoor và payload để duy trì sự bền bỉ và tránh bị phát hiện."

Chuỗi tấn công liên quan đến việc sử dụng các tin nhắn lừa đảo để nhắm mục tiêu ngẫu nhiên các tổ chức ở Châu Á, Châu Âu và Châu Mỹ, với các email chứa các liên kết dẫn đến việc truy xuất tệp JavaScript khởi động luồng lây nhiễm.

Đầu tháng này, Palo Alto Networks đã phát hiện ra ít nhất hai phương pháp khác nhau mà SSLoad được phân phối, một phương pháp đòi hỏi phải sử dụng các biểu mẫu liên hệ trang web để nhúng các URL bị mắc kẹt và một phương pháp khác liên quan đến các tài liệu Microsoft Word hỗ trợ macro.

Loại thứ hai cũng đáng chú ý vì thực tế là phần mềm độc hại hoạt động như một ống dẫn để phân phối Cobalt Strike, trong khi phần mềm trước đây đã được sử dụng để cung cấp một phần mềm độc hại khác gọi là Latrodectus, có khả năng kế thừa IcedID.

Tệp JavaScript bị xáo trộn ("out_czlrh.js"), khi được khởi chạy và chạy bằng wscript.exe, truy xuất tệp trình cài đặt MSI ("slack.msi") bằng cách kết nối với chia sẻ mạng nằm ở "\\wireoneinternet[.] info@80\share\" và chạy nó bằng msiexec.exe.

Về phần mình, trình cài đặt MSI liên hệ với miền do kẻ tấn công kiểm soát để tìm nạp và thực thi tải trọng phần mềm độc hại SSLoad bằng cách sử dụng rundll32.exe, sau đó nó báo hiệu đến máy chủ chỉ huy và kiểm soát (C2) cùng với thông tin về hệ thống bị xâm nhập.

Những kẻ tấn công cũng đã được quan sát thấy xoay quanh các hệ thống khác trong mạng, bao gồm cả bộ điều khiển miền, cuối cùng xâm nhập vào miền Windows của nạn nhân bằng cách tạo tài khoản quản trị viên miền của riêng họ.

"Với mức độ truy cập này, họ có thể xâm nhập vào bất kỳ máy nào được kết nối trong miền", các nhà nghiên cứu cho biết. "Cuối cùng, đây là trường hợp xấu nhất đối với bất kỳ tổ chức nào vì mức độ kiên trì này mà những kẻ tấn công đạt được sẽ cực kỳ tốn thời gian và tốn kém để khắc phục."

Tiết lộ được đưa ra khi Trung tâm Tình báo Bảo mật AhnLab (ASEC) tiết lộ rằng các hệ thống Linux đang bị nhiễm một trojan truy cập từ xa nguồn mở có tên Pupy RAT.

Mới hơn Cũ hơn