Onderzoekers beschrijven systemen voor het kapen van meertrapsaanvallen met SSLoad en Cobalt Strike

Cybersecurity-onderzoekers hebben een voortdurende aanvalscampagne ontdekt die gebruik maakt van phishing-e-mails om zogenaamde malware af te leveren SSLladen.

De campagne, met codenaam BEVROREN#SCHADUW door Securonix omvat ook de inzet van Cobalt Strike en de ConnectWise ScreenConnect remote desktop-software.

“SSLoad is ontworpen om heimelijk systemen te infiltreren, gevoelige informatie te verzamelen en de bevindingen terug te sturen naar de operators”, zeiden beveiligingsonderzoekers Den Iuzvyk, Tim Peck en Oleg Kolesnikov in een rapport gedeeld met The Hacker News.

“Eenmaal binnen het systeem implementeert SSLoad meerdere backdoors en payloads om de persistentie te behouden en detectie te voorkomen.”

Aanvalsketens omvatten het gebruik van phishing-berichten om willekeurig organisaties in Azië, Europa en Amerika te targeten, waarbij e-mails links bevatten die leiden naar het ophalen van een JavaScript-bestand dat de infectiestroom op gang brengt.

Cyberbeveiliging

Eerder deze maand ontdekte Palo Alto Networks minstens twee verschillende methoden waarmee SSLoad wordt gedistribueerd: één waarbij contactformulieren op websites worden gebruikt om boobytrap-URL's in te sluiten, en een andere waarbij gebruik wordt gemaakt van macro-compatibele Microsoft Word-documenten.

De laatste valt ook op vanwege het feit dat malware fungeert als kanaal voor het leveren van Cobalt Strike, terwijl de eerste is gebruikt om een ​​andere malware te leveren genaamd Latrodectus, een waarschijnlijke opvolger van IcedID.

Het versluierde JavaScript-bestand (“out_czlrh.js”) haalt, wanneer het wordt gestart en uitgevoerd met wscript.exe, een MSI-installatiebestand op (“slack.msi”) door verbinding te maken met een netwerkshare op “\wireoneinternet[.]info@80share” en voert het uit met msiexec.exe.

Het MSI-installatieprogramma neemt op zijn beurt contact op met een door de aanvaller gecontroleerd domein om de SSLoad-malwarepayload op te halen en uit te voeren met behulp van rundll32.exe, waarna deze naar een command-and-control (C2)-server verwijst, samen met informatie over het aangetaste systeem.

De eerste verkenningsfase maakt de weg vrij voor Cobalt Strike, een legitieme simulatiesoftware voor tegenstanders, die vervolgens wordt gebruikt om ScreenConnect te downloaden en te installeren, waardoor de bedreigingsactoren op afstand de host kunnen overnemen.

Cyberbeveiliging

“Met volledige toegang tot het systeem begonnen de bedreigingsactoren te proberen inloggegevens te verkrijgen en andere kritieke systeemdetails te verzamelen”, aldus de onderzoekers. “In dit stadium begonnen ze de host van het slachtoffer te scannen op inloggegevens die waren opgeslagen in bestanden en andere potentieel gevoelige documenten.”

Er is ook waargenomen dat de aanvallers zich naar andere systemen in het netwerk wenden, waaronder de domeincontroller, en uiteindelijk het Windows-domein van het slachtoffer infiltreren door hun eigen domeinbeheerdersaccount aan te maken.

“Met dit toegangsniveau konden ze toegang krijgen tot elke aangesloten machine binnen het domein”, aldus de onderzoekers. “Uiteindelijk is dit het slechtste scenario voor elke organisatie, omdat het door de aanvallers bereikte niveau van doorzettingsvermogen ongelooflijk tijdrovend en kostbaar zou zijn om te herstellen.”

De onthulling komt op het moment dat het AhnLab Security Intelligence Center (ASEC) onthulde dat Linux-systemen worden geïnfecteerd met een open-source trojan voor externe toegang genaamd Puppy RAT.

Thijs Van der Does