Новости FROZEN#SHADOW: хладнокровные хакеры скрытно атакуют компании по всему миру

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Вредонос SSLoad стал одним из основных инструментов в арсенале киберпреступников.


x8zsluvh65m11s2tpxyqmcqbu2bg6qu7.jpg


Исследователи кибербезопасности выявили продолжающуюся кампанию кибератак, которая использует фишинговые письма для распространения вредоносного программного обеспечения под названием SSLoad. Кампания получила кодовое название FROZEN#SHADOW и включает в себя использование программы Cobalt Strike и программного обеспечения для удалённого доступа ConnectWise ScreenConnect.

Специалисты из компании Securonix Для просмотра ссылки Войди или Зарегистрируйся что SSLoad разработан для тайного проникновения в системы, сбора конфиденциальной информации и передачи данных операторам. Вредонос устанавливает сразу несколько бэкдоров и полезных нагрузок в системе жертвы, чтобы сохранить быстрый доступ и избежать обнаружения.

Фишинговые атаки случайным образом нацелены на организации в Азии, Европе и Америке. Письма содержат ссылки, ведущие к скачиванию JavaScript -файла, который и запускает цепочку заражения.

Ранее в этом месяце Palo Alto Networks обнаружила по меньшей мере два различных метода распространения SSLoad: один предполагает Для просмотра ссылки Войди или Зарегистрируйся для встраивания URL-адресов-ловушек, а другой включает Для просмотра ссылки Войди или Зарегистрируйся Помимо этого, фишинг через контактные формы активно применяется для распространения другого вредоносного ПО — Latrodectus.

JavaScript-файл («out_czlrh.js»), запущенный через «wscript.exe», подключается к сетевому ресурсу и скачивает MSI-установщик («slack.msi»), который, в свою очередь, выполняет установку SSLoad через «rundll32.exe» и устанавливает связь с сервером управления.

В начальной фазе разведки, используя Cobalt Strike, злоумышленники устанавливают ScreenConnect, что позволяет им удалённо контролировать заражённый хост. Затем они начинают сбор учётных данных и сканирование системы на предмет чувствительной информации.

Исследователями наблюдалось, что атакующие переходят к другим системам в сети, включая контроллер домена, и в конечном итоге создают собственную учётную запись администратора домена. Это даёт им доступ к любому компьютеру в сети, представляя серьёзную угрозу для организаций, поскольку выявление и устранение последствий атаки может быть времязатратным и дорогостоящим.
 
Источник новости
www.securitylab.ru

Похожие темы