Siber güvenlik araştırmacıları, adı verilen kötü amaçlı yazılımları dağıtmak için kimlik avı e-postalarından yararlanan, devam eden bir saldırı kampanyası keşfettiler. SSLYükleme.
Kod adı verilen kampanya DONDURULMUŞ#GÖLGE Securonix tarafından sunulan bu paket ayrıca Cobalt Strike ve ConnectWise ScreenConnect uzak masaüstü yazılımının dağıtımını da içeriyor.
Güvenlik araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, “SSLoad sistemlere gizlice sızmak, hassas bilgileri toplamak ve bulgularını operatörlerine iletmek için tasarlandı” dedi. rapor The Hacker News ile paylaşıldı.
“Sisteme girdikten sonra SSLoad, kalıcılığı korumak ve tespit edilmekten kaçınmak için birden fazla arka kapı ve veri yükü dağıtıyor.”
Saldırı zincirleri, enfeksiyon akışını başlatan bir JavaScript dosyasının alınmasına yol açan bağlantılar içeren e-postalar içeren, Asya, Avrupa ve Amerika’daki kuruluşları rastgele hedef alan kimlik avı mesajlarının kullanılmasını içerir.
Bu ayın başlarında Palo Alto Networks, SSLoad’ın dağıtıldığı en az iki farklı yöntemi ortaya çıkardı; web sitesi iletişim formlarının kullanımı bubi tuzaklı URL’leri ve diğerlerini gömmek için makro özellikli Microsoft Word belgeleri.
İkincisi, kötü amaçlı yazılımın Cobalt Strike’ı dağıtmak için bir kanal görevi görmesi açısından da dikkat çekicidir; ilki ise IcedID’nin muhtemelen halefi olan Latrodectus adlı farklı bir kötü amaçlı yazılımı dağıtmak için kullanılmış.
Kullanılarak başlatıldığında ve çalıştırıldığında gizlenmiş JavaScript dosyası (“out_czlrh.js”) wscript.exe“\wireoneinternet” konumunda bulunan bir ağ paylaşımına bağlanarak bir MSI yükleyici dosyasını (“slack.msi”) alır[.]info@80share” ve şunu kullanarak çalıştırır: msiexec.exe.
MSI yükleyicisi, SSLoad kötü amaçlı yazılım yükünü almak ve yürütmek için saldırgan tarafından kontrol edilen bir alan adıyla iletişim kurar. rundll32.exeBunu takiben, tehlikeye atılan sistemle ilgili bilgilerle birlikte bir komuta ve kontrol (C2) sunucusuna işaret gönderir.
İlk keşif aşaması, meşru bir düşman simülasyon yazılımı olan Cobalt Strike’ın önünü açıyor ve bu yazılım daha sonra ScreenConnect’i indirip yüklemek için kullanılıyor ve böylece tehdit aktörlerinin ana bilgisayara uzaktan kumanda etmesine olanak tanıyor.
Araştırmacılar, “Sisteme tam erişimle birlikte tehdit aktörleri kimlik bilgilerini ele geçirmeye ve diğer kritik sistem ayrıntılarını toplamaya başladı” dedi. “Bu aşamada kurbanın ana bilgisayarını, dosyalarda saklanan kimlik bilgileri ve diğer potansiyel olarak hassas belgeler açısından taramaya başladılar.”
Saldırganların, etki alanı denetleyicisi de dahil olmak üzere ağdaki diğer sistemlere yöneldikleri ve sonunda kendi etki alanı yönetici hesaplarını oluşturarak kurbanın Windows etki alanına sızdıkları da gözlemlendi.
Araştırmacılar, “Bu düzeyde erişimle, etki alanı içindeki herhangi bir bağlı makineye girebilirler” dedi. “Sonuçta bu, herhangi bir kuruluş için en kötü durum senaryosudur, çünkü saldırganların bu seviyedeki kararlılığını düzeltmek inanılmaz derecede zaman alıcı ve maliyetli olacaktır.”
Açıklama AhnLab Güvenlik İstihbarat Merkezi (ASEC) olarak geliyor açıklığa kavuşmuş Linux sistemlerine Pupy RAT adı verilen açık kaynaklı bir uzaktan erişim truva atı bulaştığını söyledi.
