Pesquisadores detalham sistemas de sequestro de ataque em vários estágios com SSLoad, Cobalt Strike
Pesquisadores de segurança cibernética descobriram uma campanha de ataque contínua que aproveita e-mails de phishing para entregar malware chamado Carregar SSL.
A campanha, codinome CONGELADO#SOMBRA da Securonix, também envolve a implantação do Cobalt Strike e do software program de desktop remoto ConnectWise ScreenConnect.
“O SSLoad foi projetado para se infiltrar furtivamente nos sistemas, coletar informações confidenciais e transmitir suas descobertas aos seus operadores”, disseram os pesquisadores de segurança Den Iuzvyk, Tim Peck e Oleg Kolesnikov em um relatório compartilhado com o The Hacker Information.
“Uma vez dentro do sistema, o SSLoad implanta vários backdoors e cargas úteis para manter a persistência e evitar a detecção.”
As cadeias de ataques envolvem o uso de mensagens de phishing para atingir aleatoriamente organizações na Ásia, na Europa e nas Américas, com e-mails contendo hyperlinks que levam à recuperação de um arquivo JavaScript que inicia o fluxo de infecção.
No início deste mês, a Palo Alto Networks descobriu pelo menos dois métodos diferentes pelos quais o SSLoad é distribuído, um que envolve o uso de formulários de contato de websites para incorporar URLs com armadilhas e outro envolvendo documentos do Microsoft Phrase habilitados para macro.
Este último também é notável pelo fato de que o malware atua como um canal para entregar o Cobalt Strike, enquanto o primeiro tem sido usado para entregar um malware diferente chamado Latrodectus, um provável sucessor do IcedID.
O arquivo JavaScript ofuscado (“out_czlrh.js”), quando iniciado e executado usando wscript.exe, recupera um arquivo do instalador MSI (“slack.msi”) conectando-se a um compartilhamento de rede localizado em “wireoneinternet(.)information@ 80share” e executa-o usando msiexec.exe.
O instalador MSI, por sua vez, entra em contato com um domínio controlado pelo invasor para buscar e executar a carga útil do malware SSLoad usando rundll32.exe, após o que ele sinaliza para um servidor de comando e controle (C2) junto com informações sobre o sistema comprometido.
A fase inicial de reconhecimento abre caminho para o Cobalt Strike, um software program legítimo de simulação de adversário, que é então usado para baixar e instalar o ScreenConnect, permitindo assim que os atores da ameaça comandem remotamente o host.
“Com acesso complete ao sistema, os agentes da ameaça começaram a tentar adquirir credenciais e reunir outros detalhes críticos do sistema”, disseram os pesquisadores. “Nesta fase, eles começaram a escanear o host da vítima em busca de credenciais armazenadas em arquivos, bem como outros documentos potencialmente confidenciais”.
Os invasores também foram observados migrando para outros sistemas na rede, incluindo o controlador de domínio, infiltrando-se no domínio do Home windows da vítima criando sua própria conta de administrador de domínio.
“Com este nível de acesso, eles poderiam entrar em qualquer máquina conectada dentro do domínio”, disseram os pesquisadores. “No closing, este é o pior cenário para qualquer organização, já que este nível de persistência alcançado pelos atacantes seria incrivelmente demorado e caro para remediar”.
A divulgação ocorre no momento em que o AhnLab Safety Intelligence Heart (ASEC) revela que os sistemas Linux estão sendo infectados com um trojan de acesso remoto de código aberto chamado Pupy RAT.
