持续攻击活动:利用钓鱼邮件来传播SSLoad恶意软件

阅读量27694

发布时间 : 2024-04-25 10:32:42

网络安全研究人员发现了一种持续的攻击活动,该活动利用网络钓鱼电子邮件来传播名为SSLoad的恶意软件。

该活动由 Securonix 代号为FROZEN#SHADOW,还涉及部署 Cobalt Strike 和 ConnectWise ScreenConnect 远程桌面软件。

安全研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 在与《黑客新闻》分享的一份报告中表示:“SSLoad 旨在秘密渗透系统、收集敏感信息并将其发现返回给操作员。”

“一旦进入系统,SSLoad 就会部署多个后门和有效负载以保持持久性并避免检测。”

攻击链涉及使用网络钓鱼消息随机定位亚洲、欧洲和美洲的组织,电子邮件中包含可检索 JavaScript 文件的链接,从而启动感染流。

本月早些时候,Palo Alto Networks 发现了至少两种不同的 SSLoad 分发方法,一种需要使用网站联系表单来嵌入陷阱 URL,另一种涉及启用宏的 Microsoft Word 文档。

后者还因恶意软件充当传播 Cobalt Strike 的渠道而值得注意,而前者已被用来传播另一种名为Latrodectus 的恶意软件,该恶意软件可能是 IcedID 的后继者。

当使用wscript.exe启动并运行混淆的 JavaScript 文件(“out_czlrh.js”)时,它会通过连接到位于“\\wireoneinternet[.]info@”的网络共享来检索 MSI 安装程序文件(“slack.msi”) 80\share\” 并使用msiexec.exe运行它。

MSI 安装程序本身会联系攻击者控制的域,以使用rundll32.exe获取并执行 SSLoad 恶意软件有效负载,然后将信标发送到命令和控制 (C2) 服务器以及有关受感染系统的信息。

最初的侦察阶段为 Cobalt Strike(一种合法的对手模拟软件)铺平了道路,然后使用该软件下载并安装 ScreenConnect,从而允许威胁行为者远程征用主机。

研究人员表示:“通过完全访问系统,威胁行为者开始尝试获取凭据并收集其他关键系统详细信息。” “在这个阶段,他们开始扫描受害主机,以查找文件中存储的凭据以及其他潜在敏感文档。”

据观察,攻击者还转向网络中的其他系统(包括域控制器),最终通过创建自己的域管理员帐户渗透到受害者的 Windows 域。

研究人员表示:“通过这种级别的访问,他们可以进入域内的任何联网机器。” “最终,这对于任何组织来说都是最糟糕的情况,因为攻击者达到的这种持久性水平将非常耗时且修复成本高昂。”

在此披露之际,AhnLab 安全情报中心 (ASEC)透露Linux 系统正在感染一种名为Pupy RAT的开源远程访问木马。

本文转载自:

如若转载,请注明出处: https://thehackernews.com/2024/04/researchers-detail-multistage-attack.html

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66