SSLoad 惡意軟體在網路釣魚活動中傳播

安全專家已經確定了一種持續的攻擊策略，該策略利用網路釣魚電子郵件來分發一種稱為 SSLoad 的惡意軟體。該活動被 Securonix 稱為 FROZEN#SHADOW，涉及部署 Cobalt Strike 和 ConnectWise ScreenConnect 遠端桌面軟體。

研究人員表示，SSLoad 旨在謹慎地滲透系統、收集敏感資料並將其發送回操作員。一旦進入系統，SSLoad 就會建立多個後門和有效負載，以保持不被發現和持久性。

攻擊首先向亞洲、歐洲和美洲的組織隨機發送網路釣魚訊息。這些電子郵件包含指向啟動感染過程的 JavaScript 檔案的連結。

SSLoad 使用兩種不同的分發路徑

Palo Alto Networks 最近發現了 SSLoad 的兩種分發方法。一種涉及在網站聯絡表單中嵌入惡意 URL，另一種則使用啟用巨集的 Microsoft Word 文件。後一種方法值得注意，因為它不僅可以分配 SSLoad，還可以促進 Cobalt Strike 的交付。同時，前者已被用來分發另一種名為 Latrodectus 的惡意軟體，該惡意軟體可能會接替 IcedID。

混淆的 JavaScript 檔案（“out_czlrh.js”）從網路共用檢索 MSI 安裝程式檔案（“slack.msi”）並執行它。然後，MSI 安裝程式會聯絡攻擊者控制的網域，以下載並執行 SSLoad 惡意軟體負載。此有效負載與命令和控制伺服器進行通信，提供有關受感染系統的資訊。

初步偵察完成後，將部署「鈷打擊」。此合法軟體用於下載並安裝ScreenConnect，使攻擊者能夠遠端控制主機。透過對系統的完全訪問，攻擊者試圖獲取憑證和其他關鍵系統詳細信息，掃描儲存的憑證和敏感文件。

據觀察，攻擊者擴大了網路內的存取權限，包括網域控制器，最終建立了自己的網域管理員帳戶。這種級別的存取使他們能夠滲透到域內的任何連接的計算機，這給組織的修復帶來了巨大的挑戰。