Siber güvenlik araştırmacıları, adı verilen kötü amaçlı yazılımları dağıtmak için kimlik avı e-postalarından yararlanan, devam eden bir saldırı kampanyası keşfettiler. SSLYükleme.
Kod adı verilen kampanya DONDURULMUŞ#GÖLGE Securonix tarafından sunulan bu paket ayrıca Cobalt Strike ve ConnectWise ScreenConnect uzak masaüstü yazılımının dağıtımını da içeriyor.
Güvenlik araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, The Hacker News ile paylaşılan bir raporda “SSLoad, sistemlere gizlice sızmak, hassas bilgileri toplamak ve bulgularını operatörlerine iletmek için tasarlandı.” dedi.
“Sisteme girdikten sonra SSLoad, kalıcılığı korumak ve tespit edilmekten kaçınmak için birden fazla arka kapı ve veri yükü dağıtıyor.”
Saldırı zincirleri, enfeksiyon akışını başlatan bir JavaScript dosyasının alınmasına yol açan bağlantılar içeren e-postalar içeren, Asya, Avrupa ve Amerika’daki kuruluşları rastgele hedef alan kimlik avı mesajlarının kullanılmasını içerir.
Bu ayın başlarında Palo Alto Networks, SSLoad’ın dağıtıldığı en az iki farklı yöntemi ortaya çıkardı; bunlardan biri, bubi tuzaklı URL’leri yerleştirmek için web sitesi iletişim formlarının kullanımını ve diğeri, makro destekli Microsoft Word belgelerini içeriyor.
İkincisi, kötü amaçlı yazılımın Cobalt Strike’ı dağıtmak için bir kanal görevi görmesi açısından da dikkat çekicidir; ilki ise IcedID’nin muhtemelen halefi olan Latrodectus adlı farklı bir kötü amaçlı yazılımı dağıtmak için kullanılmış.
Gizlenmiş JavaScript dosyası (“out_czlrh.js”), wscript.exe kullanılarak başlatılıp çalıştırıldığında, “\\wireoneinternet” konumunda bulunan bir ağ paylaşımına bağlanarak bir MSI yükleyici dosyasını (“slack.msi”) alır.[.]info@80\share\” komutunu kullanır ve msiexec.exe’yi kullanarak çalıştırır.
MSI yükleyicisi, kendi adına, Rundll32.exe’yi kullanarak SSLoad kötü amaçlı yazılım yükünü almak ve yürütmek için saldırgan tarafından kontrol edilen bir etki alanıyla iletişim kurar ve ardından, tehlikeye atılan sistemle ilgili bilgilerle birlikte bir komut ve kontrol (C2) sunucusuna işaret eder.
İlk keşif aşaması, meşru bir düşman simülasyon yazılımı olan Cobalt Strike’ın önünü açıyor ve bu yazılım daha sonra ScreenConnect’i indirip yüklemek için kullanılıyor ve böylece tehdit aktörlerinin ana bilgisayara uzaktan kumanda etmesine olanak tanıyor.
Araştırmacılar, “Sisteme tam erişimle birlikte tehdit aktörleri kimlik bilgilerini ele geçirmeye ve diğer kritik sistem ayrıntılarını toplamaya başladı” dedi. “Bu aşamada kurbanın ana bilgisayarını, dosyalarda saklanan kimlik bilgileri ve diğer potansiyel olarak hassas belgeler açısından taramaya başladılar.”
Saldırganların, etki alanı denetleyicisi de dahil olmak üzere ağdaki diğer sistemlere yöneldikleri ve sonunda kendi etki alanı yönetici hesaplarını oluşturarak kurbanın Windows etki alanına sızdıkları da gözlemlendi.
Araştırmacılar, “Bu düzeyde erişimle, etki alanı içindeki herhangi bir bağlı makineye girebilirler” dedi. “Sonuçta bu, herhangi bir kuruluş için en kötü durum senaryosudur çünkü saldırganların bu düzeydeki devamlılığını düzeltmek inanılmaz derecede zaman alıcı ve maliyetli olacaktır.”
Açıklama, AhnLab Güvenlik İstihbarat Merkezi’nin (ASEC), Linux sistemlerine Pupy RAT adı verilen açık kaynaklı bir uzaktan erişim truva atının bulaştığını ortaya çıkarmasıyla geldi.