网络安全研究人员发现了一种持续的攻击活动,该活动利用网络钓鱼电子邮件来传播名为SSLoad的恶意软件。
该活动由 Securonix 代号为FROZEN#SHADOW,还涉及部署 Cobalt Strike 和 ConnectWise ScreenConnect 远程桌面软件。
安全研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 在与《黑客新闻》分享的一份报告中表示:“SSLoad 旨在秘密渗透系统、收集敏感信息并将其发现返回给操作员。”
“一旦进入系统,SSLoad 就会部署多个后门和有效负载以保持持久性并避免检测。”
攻击链涉及使用网络钓鱼消息随机定位亚洲、欧洲和美洲的组织,电子邮件中包含可检索 JavaScript 文件的链接,从而启动感染流。
本月早些时候,Palo Alto Networks 发现了至少两种不同的 SSLoad 分发方法,一种需要使用网站联系表单来嵌入陷阱 URL,另一种涉及启用宏的 Microsoft Word 文档。
后者还因恶意软件充当传播 Cobalt Strike 的渠道而值得注意,而前者已被用来传播另一种名为Latrodectus 的恶意软件,该恶意软件可能是 IcedID 的后继者。
当使用wscript.exe启动并运行混淆的 JavaScript 文件(“out_czlrh.js”)时,它会通过连接到位于“\\wireoneinternet[.]info@”的网络共享来检索 MSI 安装程序文件(“slack.msi”) 80\share\” 并使用msiexec.exe运行它。
MSI 安装程序本身会联系攻击者控制的域,以使用rundll32.exe获取并执行 SSLoad 恶意软件有效负载,然后将信标发送到命令和控制 (C2) 服务器以及有关受感染系统的信息。
最初的侦察阶段为 Cobalt Strike(一种合法的对手模拟软件)铺平了道路,然后使用该软件下载并安装 ScreenConnect,从而允许威胁行为者远程征用主机。
研究人员表示:“通过完全访问系统,威胁行为者开始尝试获取凭据并收集其他关键系统详细信息。” “在这个阶段,他们开始扫描受害主机,以查找文件中存储的凭据以及其他潜在敏感文档。”
据观察,攻击者还转向网络中的其他系统(包括域控制器),最终通过创建自己的域管理员帐户渗透到受害者的 Windows 域。
研究人员表示:“通过这种级别的访问,他们可以进入域内的任何联网机器。” “最终,这对于任何组织来说都是最糟糕的情况,因为攻击者达到的这种持久性水平将非常耗时且修复成本高昂。”
在此披露之际,AhnLab 安全情报中心 (ASEC)透露Linux 系统正在感染一种名为Pupy RAT的开源远程访问木马。
发表评论
您还未登录,请先登录。
登录