The Hacker News – Peneliti keamanan siber telah menemukan kampanye serangan yang memanfaatkan email phishing untuk mengirimkan malware yang disebut SSLoad.
Kampanye tersebut, dengan nama kode FROZEN#SHADOW oleh Securonix, juga melibatkan penerapan Cobalt Strike dan perangkat lunak desktop jarak jauh ConnectWise ScreenConnect.
“SSLoad dirancang untuk menyusup ke sistem secara diam-diam, mengumpulkan informasi sensitif, dan mengirimkan temuannya kembali ke operatornya,” kata peneliti keamanan Den Iuzvyk, Tim Peck, dan Oleg Kolesnikov dalam laporan yang dibagikan kepada The Hacker News.
“Saat berada di dalam sistem, SSLoad membuat beberapa pintu belakang dan muatan untuk menjaga persistensi dan menghindari deteksi.”
Rantai serangan melibatkan penggunaan pesan phishing yang secara acak menargetkan organisasi di Asia, Eropa, dan Amerika, dengan email berisi tautan yang mengarah ke pengambilan file JavaScript yang memulai aliran infeksi.
Awal bulan ini, Palo Alto Networks menemukan setidaknya dua metode berbeda yang digunakan SSLoad untuk didistribusikan, salah satunya melibatkan penggunaan formulir kontak situs web untuk menyematkan URL jebakan dan metode lainnya melibatkan dokumen Microsoft Word yang mendukung makro (macro-enabled Microsoft Word documents).
Yang terakhir ini juga penting karena malware bertindak sebagai saluran untuk mengirimkan Cobalt Strike, sedangkan yang pertama telah digunakan untuk mengirimkan malware lain yang disebut Latrodectus, yang kemungkinan merupakan penerus IcedID.
File JavaScript yang disembunyikan (“out_czlrh.js”), ketika diluncurkan dan dijalankan menggunakan wscript.exe, mengambil file penginstal MSI (“slack.msi”) dengan menghubungkan ke network share yang terletak di “\\wireoneinternet[.]info@ 80\share\” dan menjalankannya menggunakan msiexec.exe.
Penginstal MSI disini berperan menghubungi domain yang dikendalikan penyerang untuk mengambil dan mengeksekusi muatan malware SSLoad menggunakan rundll32.exe, yang kemudian akan diarahkan ke server perintah dan kontrol (C2) bersama dengan informasi tentang sistem yang disusupi.
Fase pengintaian awal membuka jalan bagi Cobalt Strike, perangkat lunak simulasi musuh yang sah, yang kemudian digunakan untuk mengunduh dan menginstal ScreenConnect, sehingga memungkinkan pelaku ancaman untuk mengambil alih host dari jarak jauh.
“Dengan akses penuh ke sistem, pelaku ancaman mulai berusaha memperoleh kredensial dan mengumpulkan rincian sistem penting lainnya,” kata para peneliti. “Pada tahap ini mereka mulai memindai host korban untuk mencari kredensial yang disimpan dalam file serta dokumen sensitif lainnya.”
Para penyerang juga terlihat beralih ke sistem lain di jaringan, termasuk pengontrol domain, yang pada akhirnya menyusup ke domain Windows korban dengan membuat akun administrator domain mereka sendiri.
“Dengan tingkat akses ini, mereka bisa masuk ke mesin mana pun yang terhubung dalam domain tersebut,” kata para peneliti. “Pada akhirnya, ini adalah skenario terburuk bagi organisasi mana pun karena tingkat kegigihan yang dicapai oleh para penyerang akan sangat memakan waktu dan mahal untuk melakukan pemulihan.”
Pengungkapan ini terjadi ketika AhnLab Security Intelligence Center (ASEC) mengungkapkan bahwa sistem Linux sedang terinfeksi trojan akses jarak jauh sumber terbuka yang disebut Puppy RAT.
Sumber = The Hacker News