Исследователи кибербезопасности обнаружили продолжающуюся кампанию атак, использующую фишинговые электронные письма для доставки вредоносного ПО под названием SSLoad.
Кампания под кодовым названием FROZEN #SHADOW от Securonix также включает в себя развертывание Cobalt Strike и программного обеспечения ConnectWise ScreenConnect для удаленного рабочего стола.
"SSLoad предназначен для скрытного проникновения в системы, сбора конфиденциальной информации и передачи результатов своим операторам", - заявили исследователи безопасности Ден Юзвик, Тим Пек и Олег Колесников в отчете, которым поделились с Hacker News.
"Оказавшись внутри системы, SSLoad развертывает множество бэкдоров и полезных нагрузок для поддержания устойчивости и предотвращения обнаружения".
Цепочки атак включают использование фишинговых сообщений для случайного нацеливания на организации в Азии, Европе и Америке, при этом электронные письма содержат ссылки, ведущие к извлечению файла JavaScript, который запускает поток заражения.
Ранее в этом месяце Palo Alto Networks обнаружила по меньшей мере два различных метода распространения SSLoad: один предполагает использование контактных форм веб-сайта для встраивания URL-адресов-ловушек, а другой включает документы Microsoft Word с поддержкой макросов.
Последняя также примечательна тем фактом, что вредоносное ПО действует как канал для доставки Cobalt Strike, в то время как первая использовалась для доставки другого вредоносного ПО под названием Latrodectus, вероятного преемника IcedID.
Запутанный файл JavaScript ("out_czlrh.js") при запуске с использованием wscript.exe извлекает установочный файл MSI ("slack.msi") при подключении к общему сетевому ресурсу, расположенному по адресу "\\ wireloneinternet[.]info @ 80\share \" и запускает его с помощью msiexec.exe.
Установщик MSI, со своей стороны, связывается с контролируемым злоумышленником доменом для извлечения и выполнения полезной нагрузки вредоносного ПО SSLoad с помощью rundll32.exe, после чего они направляются на сервер командования и управления (C2) вместе с информацией о скомпрометированной системе.
Начальная фаза разведки прокладывает путь для Cobalt Strike, законного программного обеспечения для моделирования противника, которое затем используется для загрузки и установки ScreenConnect, тем самым позволяя субъектам угрозы удаленно управлять хостом.
"Получив полный доступ к системе, субъекты угрозы начали пытаться получить учетные данные и собрать другие важные системные данные", - сказали исследователи. "На этом этапе они начали сканировать хост-жертву на предмет учетных данных, хранящихся в файлах, а также других потенциально конфиденциальных документах".
Также было замечено, что злоумышленники переключаются на другие системы в сети, включая контроллер домена, и в конечном итоге проникают в домен Windows жертвы, создавая свою собственную учетную запись администратора домена.
"При таком уровне доступа они могли проникнуть на любую подключенную машину в домене", - сказали исследователи. "В конце концов, это наихудший сценарий для любой организации, поскольку такой уровень устойчивости, достигнутый злоумышленниками, потребует невероятно много времени и затрат на исправление".
Раскрытие происходит после того, как Центр анализа безопасности AhnLab (ASEC) обнаружил, что системы Linux заражены трояном удаленного доступа с открытым исходным кодом под названием Pupy RAT.
