Para Peneliti Mendetailkan Serangan Multistage yang Menculik Sistem dengan SSLoad, Cobalt Strike

Para Peneliti Mendetailkan Serangan Multistage yang Menculik Sistem dengan SSLoad, Cobalt Strike

Posted by : Admin , Apr 25, 2024
Para peneliti keamanan telah menemukan kampanye serangan yang sedang berlangsung yang memanfaatkan email phishing untuk menyebarkan malware bernama SSLoad.

Kampanye ini, yang dinamai FROZEN#SHADOW oleh Securonix, juga melibatkan penggunaan Cobalt Strike dan perangkat lunak remote desktop ConnectWise ScreenConnect.

"SSLoad dirancang untuk menyusup secara diam-diam ke sistem, mengumpulkan informasi sensitif, dan mengirimkan temuannya kembali kepada operatornya," kata peneliti keamanan Den Iuzvyk, Tim Peck, dan Oleg Kolesnikov dalam laporan yang dibagikan dengan The Hacker News.

"Saat sudah masuk ke dalam sistem, SSLoad menyebarkan beberapa pintu belakang dan payload untuk mempertahankan ketahanan dan menghindari deteksi."

Rantai serangan melibatkan penggunaan pesan phishing untuk menargetkan secara acak organisasi di Asia, Eropa, dan Amerika, dengan email yang berisi tautan yang mengarah ke pengambilan file JavaScript yang memulai alur infeksi.

Pada awal bulan ini, Palo Alto Networks menemukan setidaknya dua metode berbeda di mana SSLoad didistribusikan, salah satunya melibatkan penggunaan formulir kontak situs web untuk menyematkan URL jebakan dan yang lainnya melibatkan dokumen Microsoft Word yang diaktifkan makro.

Yang terakhir juga mencolok karena malware bertindak sebagai pengantar untuk menyebarkan Cobalt Strike, sementara yang pertama telah digunakan untuk menyebarkan malware yang berbeda yang disebut Latrodectus, yang kemungkinan adalah penerus IcedID.

File JavaScript yang diacak ("out_czlrh.js"), ketika diluncurkan dan dijalankan menggunakan wscript.exe, mengambil file penginstal MSI ("slack.msi") dengan terhubung ke sebuah bagian jaringan yang terletak di "\\wireoneinternet[.]info@80\share\" dan menjalankannya menggunakan msiexec.exe.

Pemasang MSI, pada gilirannya, menghubungi domain yang dikendalikan oleh penyerang untuk mengambil dan menjalankan payload malware SSLoad menggunakan rundll32.exe, setelah itu mengirimkan sinyal ke server komando dan kontrol (C2) bersama dengan informasi tentang sistem yang dikompromi.

Fase rekognisi awal membuka jalan bagi Cobalt Strike, perangkat lunak simulasi penyerangan yang sah, yang kemudian digunakan untuk mengunduh dan menginstal ScreenConnect, sehingga memungkinkan para pelaku ancaman untuk secara remote mengendalikan host.

Sumber : https://thehackernews.com/2024/04/researchers-detail-multistage-attack.html