SSLLoad Malware
Les analystes en sécurité ont découvert une cyberattaque persistante utilisant des e-mails de phishing pour distribuer une souche de malware connue sous le nom de SSLoad. Surnommée FROZEN#SHADOW, cette campagne utilise Cobalt Strike aux côtés de ConnectWise ScreenConnect pour l'accès au bureau à distance.
L'objectif principal de SSLoad est l'infiltration clandestine, l'exfiltration de données et la communication clandestine avec son centre de commandement. En cas de violation, SSLoad installe diverses portes dérobées et charges utiles pour garantir une présence à long terme et échapper à la détection.
Table des matières
Les différents vecteurs d'infection utilisés par les cybercriminels
Les chaînes d'attaque impliquent l'utilisation de messages de phishing ciblant des organisations en Asie, en Europe et sur le continent américain. Ces e-mails contiennent des liens menant vers des fichiers JavaScript, déclenchant le processus d'infection.
Les résultats antérieurs des chercheurs mettent en évidence deux méthodes de distribution distinctes pour SSLoad. Une méthode utilise des formulaires de contact de sites Web pour intégrer des URL malveillantes, tandis que l'autre utilise des documents Microsoft Word prenant en charge les macros. Notamment, cette dernière méthode facilite la livraison de Cobalt Strike via un malware, tandis que la première distribue une autre variante de malware connue sous le nom de Latrodectus , succédant potentiellementà IcedID .
Comment fonctionne l’attaque SSLoad ?
Le fichier JavaScript masqué (« out_czlrh.js ») s'exécute via wscript.exe, lançant un processus pour récupérer un fichier d'installation MSI (« slack.msi ») à partir d'un partage réseau sur « \wireoneinternet[.]info@80\share ». . Une fois obtenu, le programme d’installation utilise msiexec.exe pour s’exécuter.
Par la suite, le programme d'installation MSI établit un contact avec un domaine contrôlé par l'attaquant pour acquérir et déployer la charge utile du malware SSLoad via rundll32.exe. Suite à cela, le système compromis envoie des signaux à un serveur de commande et de contrôle (C2), transmettant des informations.
Cette étape de reconnaissance initiale prépare le terrain pour Cobalt Strike, un logiciel de simulation d'adversaire légitime, utilisé pour télécharger et installer ScreenConnect. Cela permet aux acteurs malveillants de prendre le contrôle à distance de l’hôte.
Les attaquants infectent les appareils du réseau de la victime et compromettent les données sensibles
Ayant obtenu un accès complet au système, les acteurs malveillants lancent l’acquisition d’identifiants et collectent des informations système cruciales. Les cybercriminels commencent à analyser l'hôte de la victime à la recherche d'informations d'identification stockées dans des fichiers et autres documents potentiellement sensibles.
De plus, les attaquants se tournent vers d'autres systèmes du réseau, y compris le contrôleur de domaine, pour finalement violer le domaine Windows de la victime en créant leur propre compte d'administrateur de domaine.
Ce niveau d'accès élevé permet aux acteurs mal intentionnés d'accéder à n'importe quelle machine connectée au sein du domaine. En fin de compte, ce scénario représente le pire des cas pour toute organisation, car la persistance obtenue par les attaquants nécessite beaucoup de temps et de ressources pour y remédier.
Prenez des mesures contre les campagnes d'attaque comme FROZEN#SHADOW
Le phishing reste la principale méthode utilisée par les acteurs malveillants pour exécuter des violations réussies, en introduisant des logiciels malveillants et en compromettant les systèmes internes. Il est essentiel que les utilisateurs de première ligne reconnaissent ces menaces et comprennent comment les identifier. Soyez prudent avec les courriels non sollicités, en particulier ceux dont le contenu est inattendu ou qui donnent un sentiment d'urgence.
En termes de prévention et de détection, les chercheurs suggèrent de s'abstenir de télécharger des fichiers ou des pièces jointes provenant de sources externes inconnues, en particulier s'ils ne sont pas sollicités. Les types de fichiers courants utilisés dans les attaques incluent zip, rar, iso et pdf, les fichiers zip étant notamment utilisés dans cette campagne. De plus, il est conseillé de surveiller les répertoires de transfert de logiciels malveillants couramment ciblés, en particulier pour les activités liées aux scripts dans les répertoires accessibles en écriture.
Au cours des différentes phases de la campagne FROZEN#SHADOW, les acteurs malveillants ont utilisé des canaux cryptés sur le port 443 pour échapper à la détection. Par conséquent, il est fortement recommandé de déployer des fonctionnalités robustes de journalisation des points de terminaison, notamment en tirant parti d’une journalisation supplémentaire au niveau des processus pour une couverture de détection améliorée.
