Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Вредонос SSLoad стал одним из основных инструментов в арсенале киберпреступников

25/04/24

malware

Исследователи кибербезопасности выявили продолжающуюся кампанию кибератак, которая использует фишинговые письма для распространения вредоносного программного обеспечения под названием SSLoad. Кампания получила кодовое название FROZEN#SHADOW и включает в себя использование программы Cobalt Strike и программного обеспечения для удалённого доступа ConnectWise ScreenConnect. Об этом передаёт Securitylab.

Специалисты из компании Securonix отметили, что SSLoad разработан для тайного проникновения в системы, сбора конфиденциальной информации и передачи данных операторам. Вредонос устанавливает сразу несколько бэкдоров и полезных нагрузок в системе жертвы, чтобы сохранить быстрый доступ и избежать обнаружения.

Фишинговые атаки случайным образом нацелены на организации в Азии, Европе и Америке. Письма содержат ссылки, ведущие к скачиванию JavaScript-файла, который и запускает цепочку заражения.

Ранее в этом месяце Palo Alto Networks обнаружила по меньшей мере два различных метода распространения SSLoad: один предполагает использование контактных форм для встраивания URL-адресов-ловушек, а другой включает документы Microsoft Word с поддержкой макросов. Помимо этого, фишинг через контактные формы активно применяется для распространения другого вредоносного ПО — Latrodectus.

JavaScript-файл («out_czlrh.js»), запущенный через «wscript.exe», подключается к сетевому ресурсу и скачивает MSI-установщик («slack.msi»), который, в свою очередь, выполняет установку SSLoad через «rundll32.exe» и устанавливает связь с сервером управления.

В начальной фазе разведки, используя Cobalt Strike, злоумышленники устанавливают ScreenConnect, что позволяет им удалённо контролировать заражённый хост. Затем они начинают сбор учётных данных и сканирование системы на предмет чувствительной информации.

Исследователями наблюдалось, что атакующие переходят к другим системам в сети, включая контроллер домена, и в конечном итоге создают собственную учётную запись администратора домена. Это даёт им доступ к любому компьютеру в сети, представляя серьёзную угрозу для организаций, поскольку выявление и устранение последствий атаки может быть времязатратным и дорогостоящим.

Темы:SecuronixфишингCobalt Strike
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...