SSLలోడ్ మాల్వేర్
భద్రతా విశ్లేషకులు SSLoad అని పిలవబడే మాల్వేర్ స్ట్రెయిన్ను పంపిణీ చేయడానికి ఫిషింగ్ ఇమెయిల్లను ఉపయోగించి నిరంతర సైబర్ దాడిని కనుగొన్నారు. FROZEN#SHADOWగా పిలువబడే ఈ ప్రచారం రిమోట్ డెస్క్టాప్ యాక్సెస్ కోసం ConnectWise ScreenConnectతో పాటు కోబాల్ట్ స్ట్రైక్ను ఉపయోగిస్తుంది.
SSLoad యొక్క ప్రాథమిక లక్ష్యం రహస్య చొరబాటు, డేటా వెలికితీత మరియు దాని కమాండ్ సెంటర్తో రహస్య సంభాషణ. ఉల్లంఘన జరిగినప్పుడు, SSLoad దీర్ఘకాలిక ఉనికిని నిర్ధారించడానికి మరియు గుర్తింపును తప్పించుకోవడానికి వివిధ బ్యాక్డోర్లు మరియు పేలోడ్లను ఇన్స్టాల్ చేస్తుంది.
విషయ సూచిక
సైబర్ నేరగాళ్లు ఉపయోగించే వివిధ ఇన్ఫెక్షన్ వెక్టర్స్
దాడి గొలుసులు ఆసియా, యూరప్ మరియు అమెరికా అంతటా ఉన్న సంస్థలను లక్ష్యంగా చేసుకుని ఫిషింగ్ సందేశాల వినియోగాన్ని కలిగి ఉంటాయి. ఈ ఇమెయిల్లు జావాస్క్రిప్ట్ ఫైల్లకు దారితీసే లింక్లను కలిగి ఉంటాయి, సంక్రమణ ప్రక్రియను ప్రారంభిస్తాయి.
పరిశోధకుల నుండి మునుపటి పరిశోధనలు SSLoad కోసం రెండు విభిన్న పంపిణీ పద్ధతులను హైలైట్ చేస్తాయి. ఒక పద్ధతి హానికరమైన URLలను పొందుపరచడానికి వెబ్సైట్ సంప్రదింపు ఫారమ్లను ఉపయోగిస్తుంది, మరొక పద్ధతి స్థూల-ప్రారంభించబడిన Microsoft Word డాక్యుమెంట్లను ఉపయోగిస్తుంది. ముఖ్యంగా, తరువాతి పద్ధతి మాల్వేర్ ద్వారా కోబాల్ట్ స్ట్రైక్ డెలివరీని సులభతరం చేస్తుంది, అయితే మునుపటిది లాట్రోడెక్టస్ అని పిలువబడే మరొక మాల్వేర్ వేరియంట్ను పంపిణీ చేస్తుంది, ఇదిIcedIDని విజయవంతం చేస్తుంది.
SSLoad అటాక్ ఎలా పనిచేస్తుంది?
అస్పష్టంగా ఉన్న JavaScript ఫైల్ ('out_czlrh.js') wscript.exe ద్వారా అమలు చేయబడుతుంది, '\wireoneinternet[.]info@80\share'లో నెట్వర్క్ భాగస్వామ్యం నుండి MSI ఇన్స్టాలర్ ఫైల్ ('slack.msi')ని తిరిగి పొందే ప్రక్రియను ప్రారంభిస్తుంది. . ఒకసారి పొందిన తర్వాత, ఇన్స్టాలర్ అమలు చేయడానికి msiexec.exeని ఉపయోగిస్తుంది.
తదనంతరం, MSI ఇన్స్టాలర్ rundll32.exe ద్వారా SSLoad మాల్వేర్ పేలోడ్ను పొందేందుకు మరియు అమలు చేయడానికి దాడి చేసేవారిచే నియంత్రించబడే డొమైన్తో పరిచయాన్ని ఏర్పరుస్తుంది. దీన్ని అనుసరించి, రాజీపడిన సిస్టమ్ సమాచారాన్ని ప్రసారం చేస్తూ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్కు సంకేతాలను పంపుతుంది.
స్క్రీన్కనెక్ట్ని డౌన్లోడ్ చేయడానికి మరియు ఇన్స్టాల్ చేయడానికి ఉపయోగించబడే చట్టబద్ధమైన వ్యతిరేక అనుకరణ సాఫ్ట్వేర్ అయిన కోబాల్ట్ స్ట్రైక్కు ఈ ప్రారంభ నిఘా దశ వేదికను నిర్దేశిస్తుంది. ఇది హోస్ట్పై రిమోట్ కంట్రోల్ని పొందడానికి ముప్పు నటులను అనుమతిస్తుంది.
దాడి చేసేవారు బాధితుల నెట్వర్క్లోని పరికరాలను ఇన్ఫెక్ట్ చేస్తారు మరియు సున్నితమైన డేటాను రాజీ చేస్తారు
పూర్తి సిస్టమ్ యాక్సెస్ను పొందిన తరువాత, ముప్పు నటులు ఆధారాలను పొందడం ప్రారంభిస్తారు మరియు కీలకమైన సిస్టమ్ సమాచారాన్ని సేకరిస్తారు. సైబర్ నేరస్థులు ఫైల్లు మరియు ఇతర సున్నితమైన పత్రాలలో నిల్వ చేసిన ఆధారాల కోసం బాధితుడు హోస్ట్ను స్కాన్ చేయడం ప్రారంభిస్తారు.
ఇంకా, దాడి చేసేవారు డొమైన్ కంట్రోలర్తో సహా నెట్వర్క్లోని ఇతర సిస్టమ్లకు పైవట్ చేస్తారు, చివరికి వారి స్వంత డొమైన్ అడ్మినిస్ట్రేటర్ ఖాతాను స్థాపించడం ద్వారా బాధితుల Windows డొమైన్ను ఉల్లంఘిస్తారు.
ఈ అధిక స్థాయి యాక్సెస్ డొమైన్లోని ఏదైనా కనెక్ట్ చేయబడిన మెషీన్కు చెడు మనస్సు గల నటులకు ప్రవేశాన్ని మంజూరు చేస్తుంది. అంతిమంగా, ఈ దృష్టాంతం ఏ సంస్థకైనా చెత్త ఫలితాన్ని సూచిస్తుంది, ఎందుకంటే దాడి చేసేవారు సాధించే పట్టుదలకు పరిష్కారం కోసం విస్తృతమైన సమయం మరియు వనరులు అవసరం.
FROZEN#SHADOW వంటి దాడి ప్రచారాలకు వ్యతిరేకంగా చర్యలు తీసుకోండి
ఫిషింగ్ అనేది ముప్పు నటులకు విజయవంతమైన ఉల్లంఘనలను అమలు చేయడానికి, మాల్వేర్ను పరిచయం చేయడానికి మరియు అంతర్గత సిస్టమ్లను రాజీ చేయడానికి అగ్ర పద్ధతిగా ఉంది. ఫ్రంట్లైన్ వినియోగదారులు ఈ బెదిరింపులను గుర్తించడం మరియు వాటిని ఎలా గుర్తించాలో అర్థం చేసుకోవడం చాలా కీలకం. అయాచిత ఇమెయిల్లతో జాగ్రత్త వహించండి, ముఖ్యంగా ఊహించని కంటెంట్ లేదా ఆవశ్యకత ఉన్న ఇమెయిల్లు.
నివారణ మరియు గుర్తింపు పరంగా, తెలియని బాహ్య మూలాల నుండి ఫైల్లు లేదా జోడింపులను డౌన్లోడ్ చేయడం మానుకోవాలని పరిశోధకులు సూచిస్తున్నారు, ప్రత్యేకించి అవి అయాచితంగా ఉంటే. దాడులలో ఉపయోగించే సాధారణ ఫైల్ రకాలు జిప్, రార్, ఐసో మరియు పిడిఎఫ్, ముఖ్యంగా ఈ ప్రచారంలో జిప్ ఫైల్లు ఉపయోగించబడతాయి. అదనంగా, సాధారణంగా టార్గెట్ చేయబడిన మాల్వేర్ స్టేజింగ్ డైరెక్టరీలను పర్యవేక్షించడం మంచిది, ముఖ్యంగా వ్రాయదగిన డైరెక్టరీలలో స్క్రిప్ట్-సంబంధిత కార్యాచరణ కోసం.
FROZEN#SHADOW ప్రచారం యొక్క వివిధ దశల్లో, బెదిరింపు నటులు గుర్తింపును తప్పించుకోవడానికి పోర్ట్ 443లో ఎన్క్రిప్టెడ్ ఛానెల్లను ఉపయోగించారు. అందువల్ల, మెరుగైన గుర్తింపు కవరేజ్ కోసం అదనపు ప్రాసెస్-లెవల్ లాగింగ్ను ఉపయోగించడంతో సహా, బలమైన ఎండ్పాయింట్ లాగింగ్ సామర్థ్యాలను అమలు చేయడం గట్టిగా సిఫార్సు చేయబడింది.