Mehrstufiger Angriff kombiniert SSLoad und Cobalt Strike
Cybersicherheitsexperten haben mal wieder eine heimtückische Angriffskampagne entdeckt. Die Angreifer arbeiten zunächst mit Phishing-E-Mails, um die Schadsoftware SSLoad zu verbreiten. Die Kampagne mit dem Codenamen FROZEN#SHADOW nutzt in weiterer Folge auch Cobalt Strike und die Remote-Desktop-Software ConnectWise ScreenConnect.
Sicherheitsexperten von Securonix haben die aktuell laufende SSLoad-Kampagne analysiert. Wie sie herausfanden, geht es bei diesem Angriff darum, heimlich in Computersysteme einzudringen, dort sensible Informationen zu sammeln und diese dann an die Angreifer zu senden. Nachdem SSLoad das System infiltriert hat, werden mehrere Hintertüren und Nutzlasten eingesetzt, um unentdeckt zu bleiben und langfristig Zugriff zu behalten.
Die Angriffsmethoden umfassen das Versenden von betrügerischen E-Mails, die wahllos an Organisationen in Asien, Europa und Amerika gerichtet sind. Diese E-Mails enthalten Links, die beim Klicken eine JavaScript-Datei herunterladen, welche die Infektionskette in Gang setzt.
Anfang dieses Monats hat Palo Alto Networks mindestens zwei verschiedene Methoden entdeckt, mit denen SSLoad verbreitet wird. Bei der einen Methode werden gefälschte URLs in Website-Kontaktformulare eingebettet, während bei der anderen Methode makroaktivierte Microsoft Word-Dokumente verwendet werden.
Besonders erwähnenswert ist die zweite Methode, da hierbei SSLoad als Mittel zur Verbreitung von Cobalt Strike dient. Im Gegensatz dazu wurde bei der ersten Methode eine andere Malware namens Latrodectus verwendet, die wahrscheinlich eine Weiterentwicklung von IcedID ist.
Die verschleierte JavaScript-Datei („out_czlrh.js“) ruft, wenn sie mit wscript.exe gestartet und ausgeführt wird, eine MSI-Installationsdatei („slack.msi“) von einer Netzwerkfreigabe unter „\wireoneinternet[.]info@80\share“ ab und führt sie mit msiexec.exe aus.
Die MSI-Installationsdatei wiederum kontaktiert eine Domain, die vom Angreifer kontrolliert wird, um die SSLoad-Malware-Nutzlast über rundll32.exe herunterzuladen und auszuführen. Anschließend sendet sie Informationen über das kompromittierte System an einen Command-and-Control-Server (C2).
Während der ersten Phase erkunden die Angreifer das System, indem sie Cobalt Strike verwenden, eine legale Software, die ihnen hilft, ScreenConnect herunterzuladen und zu installieren. Dadurch übernehmen sie den Host aus der Ferne.
„Nachdem sie vollen Zugriff auf das System hatten, versuchten die Angreifer, Benutzerdaten und andere wichtige Informationen zu finden“, so die Forscher. „Während dieser Phase durchsuchten sie den Host nach gespeicherten Anmeldeinformationen in Dateien sowie nach potenziell sensiblen Dokumenten.“
Die Angreifer wurden auch beobachtet, wie sie auf andere Systeme im Netzwerk, einschließlich des Domänen-Ccontrollers, zugriffen und schließlich die Windows-Domäne des Opfers infiltrierten, indem sie ein eigenes Administratorkonto erstellten.
„Auf dieser Ebene könnten sie auf jeden Computer innerhalb der Domäne zugreifen“, fügten die Forscher hinzu. „Dies stellt letztendlich das Worst-Case-Szenario für jedes Unternehmen dar, da die Behebung der durch die Angreifer erreichten Persistenz extrem zeitaufwändig und kostspielig wäre.“
Die Enthüllung kommt zu einem Zeitpunkt, da das AhnLab Security Intelligence Center (ASEC) einen Open-Source-Trojaner namens Pupy RAT für den Fernzugriff entdeckt hat, der Linux-Systeme infiziert.