SSLoad ਮਾਲਵੇਅਰ
ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ SSLoad ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਮਾਲਵੇਅਰ ਤਣਾਅ ਨੂੰ ਵੰਡਣ ਲਈ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਲਗਾਤਾਰ ਸਾਈਬਰ ਹਮਲੇ ਦਾ ਪਤਾ ਲਗਾਇਆ ਹੈ। FROZEN#SHADOW ਨੂੰ ਡੱਬ ਕੀਤਾ ਗਿਆ, ਇਹ ਮੁਹਿੰਮ ਰਿਮੋਟ ਡੈਸਕਟਾਪ ਐਕਸੈਸ ਲਈ ConnectWise ScreenConnect ਦੇ ਨਾਲ-ਨਾਲ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦੀ ਹੈ।
SSLoad ਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਗੁਪਤ ਘੁਸਪੈਠ, ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ, ਅਤੇ ਇਸਦੇ ਕਮਾਂਡ ਸੈਂਟਰ ਨਾਲ ਗੁਪਤ ਸੰਚਾਰ ਹੈ। ਉਲੰਘਣਾ ਕਰਨ 'ਤੇ, SSLoad ਲੰਬੇ ਸਮੇਂ ਦੀ ਮੌਜੂਦਗੀ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਵੱਖ-ਵੱਖ ਬੈਕਡੋਰਸ ਅਤੇ ਪੇਲੋਡਸ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਵੱਖ-ਵੱਖ ਸੰਕਰਮਣ ਵੈਕਟਰ
ਹਮਲੇ ਦੀਆਂ ਚੇਨਾਂ ਵਿੱਚ ਏਸ਼ੀਆ, ਯੂਰਪ ਅਤੇ ਅਮਰੀਕਾ ਵਿੱਚ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਫਿਸ਼ਿੰਗ ਸੰਦੇਸ਼ਾਂ ਦੀ ਵਰਤੋਂ ਸ਼ਾਮਲ ਹੈ। ਇਹਨਾਂ ਈਮੇਲਾਂ ਵਿੱਚ JavaScript ਫਾਈਲਾਂ ਵੱਲ ਲੈ ਜਾਣ ਵਾਲੇ ਲਿੰਕ ਹੁੰਦੇ ਹਨ, ਲਾਗ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਕਰਦੇ ਹਨ।
ਖੋਜਕਰਤਾਵਾਂ ਦੀਆਂ ਪਿਛਲੀਆਂ ਖੋਜਾਂ SSLoad ਲਈ ਦੋ ਵੱਖਰੀਆਂ ਵੰਡ ਵਿਧੀਆਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀਆਂ ਹਨ। ਇੱਕ ਢੰਗ ਖਤਰਨਾਕ URL ਨੂੰ ਏਮਬੇਡ ਕਰਨ ਲਈ ਵੈੱਬਸਾਈਟ ਸੰਪਰਕ ਫਾਰਮਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਦੂਜਾ ਮੈਕਰੋ-ਸਮਰਥਿਤ Microsoft Word ਦਸਤਾਵੇਜ਼ਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਬਾਅਦ ਵਾਲਾ ਤਰੀਕਾ ਮਾਲਵੇਅਰ ਰਾਹੀਂ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਦੀ ਸਪੁਰਦਗੀ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਪਹਿਲਾਂ ਇੱਕ ਹੋਰ ਮਾਲਵੇਅਰ ਰੂਪ ਜਿਸ ਨੂੰ ਲੈਟਰੋਡੈਕਟਸ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਨੂੰ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇIcedID ਤੋਂ ਬਾਅਦ ਵੰਡਦਾ ਹੈ।
SSLoad ਹਮਲਾ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ?
ਅਸਪਸ਼ਟ JavaScript ਫਾਈਲ ('out_czlrh.js') wscript.exe ਦੁਆਰਾ ਚਲਾਉਂਦੀ ਹੈ, '\wireoneinternet[.]info@80\share' 'ਤੇ ਇੱਕ ਨੈੱਟਵਰਕ ਸ਼ੇਅਰ ਤੋਂ MSI ਇੰਸਟੌਲਰ ਫਾਈਲ ('slack.msi') ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਕਰਦੀ ਹੈ। . ਇੱਕ ਵਾਰ ਪ੍ਰਾਪਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਇੰਸਟਾਲਰ ਚਲਾਉਣ ਲਈ msiexec.exe ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
ਇਸ ਤੋਂ ਬਾਅਦ, MSI ਇੰਸਟੌਲਰ rundll32.exe ਦੁਆਰਾ SSLoad ਮਾਲਵੇਅਰ ਪੇਲੋਡ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਲਾਗੂ ਕਰਨ ਲਈ ਹਮਲਾਵਰ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਇੱਕ ਡੋਮੇਨ ਨਾਲ ਸੰਪਰਕ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ, ਸਮਝੌਤਾ ਕੀਤਾ ਸਿਸਟਮ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨੂੰ ਸਿਗਨਲ ਭੇਜਦਾ ਹੈ, ਜਾਣਕਾਰੀ ਦਾ ਸੰਚਾਰ ਕਰਦਾ ਹੈ।
ਇਹ ਸ਼ੁਰੂਆਤੀ ਖੋਜ ਪੜਾਅ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਲਈ ਪੜਾਅ ਤੈਅ ਕਰਦਾ ਹੈ, ਇੱਕ ਜਾਇਜ਼ ਵਿਰੋਧੀ ਸਿਮੂਲੇਸ਼ਨ ਸੌਫਟਵੇਅਰ, ਜੋ ਕਿ ਸਕ੍ਰੀਨ ਕਨੈਕਟ ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਸਥਾਪਿਤ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਧਮਕੀ ਅਦਾਕਾਰਾਂ ਨੂੰ ਹੋਸਟ ਉੱਤੇ ਰਿਮੋਟ ਕੰਟਰੋਲ ਹਾਸਲ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।
ਹਮਲਾਵਰ ਪੀੜਤ ਦੇ ਨੈੱਟਵਰਕ ਦੇ ਸਾਰੇ ਉਪਕਰਣਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੇ ਹਨ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨਾਲ ਸਮਝੌਤਾ ਕਰਦੇ ਹਨ
ਪੂਰੀ ਸਿਸਟਮ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਪ੍ਰਾਪਤੀ ਸ਼ੁਰੂ ਕਰਦੇ ਹਨ ਅਤੇ ਮਹੱਤਵਪੂਰਨ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦੇ ਹਨ। ਸਾਈਬਰ ਅਪਰਾਧੀ ਪੀੜਤ ਹੋਸਟ ਨੂੰ ਫਾਈਲਾਂ ਅਤੇ ਹੋਰ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਦਸਤਾਵੇਜ਼ਾਂ ਦੇ ਅੰਦਰ ਸਟੋਰ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਲਈ ਸਕੈਨ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰਦੇ ਹਨ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਹਮਲਾਵਰ ਡੋਮੇਨ ਕੰਟਰੋਲਰ ਸਮੇਤ, ਨੈੱਟਵਰਕ ਦੇ ਅੰਦਰ ਹੋਰ ਪ੍ਰਣਾਲੀਆਂ ਵੱਲ ਧਰੁਵ ਕਰਦੇ ਹਨ, ਆਖਰਕਾਰ ਉਹਨਾਂ ਦੇ ਆਪਣੇ ਡੋਮੇਨ ਪ੍ਰਸ਼ਾਸਕ ਖਾਤੇ ਦੀ ਸਥਾਪਨਾ ਕਰਕੇ ਪੀੜਤ ਦੇ ਵਿੰਡੋਜ਼ ਡੋਮੇਨ ਦੀ ਉਲੰਘਣਾ ਕਰਦੇ ਹਨ।
ਪਹੁੰਚ ਦਾ ਇਹ ਉੱਚ ਪੱਧਰ ਡੋਮੇਨ ਦੇ ਅੰਦਰ ਕਿਸੇ ਵੀ ਕਨੈਕਟ ਕੀਤੀ ਮਸ਼ੀਨ ਵਿੱਚ ਗਲਤ-ਵਿਚਾਰ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਦਾਖਲਾ ਦਿੰਦਾ ਹੈ। ਅੰਤ ਵਿੱਚ, ਇਹ ਦ੍ਰਿਸ਼ ਕਿਸੇ ਵੀ ਸੰਗਠਨ ਲਈ ਸਭ ਤੋਂ ਮਾੜੇ-ਕੇਸ ਨਤੀਜੇ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਕਿਉਂਕਿ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਪ੍ਰਾਪਤ ਕੀਤੀ ਗਈ ਦ੍ਰਿੜਤਾ ਨੂੰ ਇਲਾਜ ਲਈ ਵਿਆਪਕ ਸਮੇਂ ਅਤੇ ਸਰੋਤਾਂ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।
FROZEN#SHADOW ਵਰਗੇ ਹਮਲੇ ਮੁਹਿੰਮਾਂ ਦੇ ਵਿਰੁੱਧ ਉਪਾਅ ਕਰੋ
ਫਿਸ਼ਿੰਗ ਖ਼ਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਲਈ ਸਫਲ ਉਲੰਘਣਾਵਾਂ ਨੂੰ ਅੰਜ਼ਾਮ ਦੇਣ, ਮਾਲਵੇਅਰ ਦੀ ਸ਼ੁਰੂਆਤ ਕਰਨ ਅਤੇ ਅੰਦਰੂਨੀ ਪ੍ਰਣਾਲੀਆਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਸਭ ਤੋਂ ਉੱਤਮ ਤਰੀਕਾ ਹੈ। ਫਰੰਟਲਾਈਨ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਇਹਨਾਂ ਖਤਰਿਆਂ ਨੂੰ ਪਛਾਣਨਾ ਅਤੇ ਉਹਨਾਂ ਦੀ ਪਛਾਣ ਕਰਨ ਦੇ ਤਰੀਕੇ ਨੂੰ ਸਮਝਣਾ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਅਣਚਾਹੇ ਈਮੇਲਾਂ ਦੇ ਨਾਲ ਸਾਵਧਾਨੀ ਵਰਤੋ, ਖਾਸ ਤੌਰ 'ਤੇ ਅਣਕਿਆਸੀ ਸਮਗਰੀ ਜਾਂ ਤਤਕਾਲਤਾ ਦੀ ਭਾਵਨਾ ਵਾਲੇ।
ਰੋਕਥਾਮ ਅਤੇ ਖੋਜ ਦੇ ਸੰਦਰਭ ਵਿੱਚ, ਖੋਜਕਰਤਾ ਅਣਜਾਣ ਬਾਹਰੀ ਸਰੋਤਾਂ ਤੋਂ ਫਾਈਲਾਂ ਜਾਂ ਅਟੈਚਮੈਂਟਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਤੋਂ ਪਰਹੇਜ਼ ਕਰਨ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ, ਖਾਸ ਤੌਰ 'ਤੇ ਜੇ ਉਹ ਅਣਚਾਹੇ ਹਨ। ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਆਮ ਫਾਈਲਾਂ ਦੀਆਂ ਕਿਸਮਾਂ ਵਿੱਚ zip, rar, iso, ਅਤੇ pdf ਸ਼ਾਮਲ ਹਨ, ਖਾਸ ਤੌਰ 'ਤੇ ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ ਵਰਤੀਆਂ ਗਈਆਂ ਜ਼ਿਪ ਫਾਈਲਾਂ ਦੇ ਨਾਲ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਆਮ ਤੌਰ 'ਤੇ ਨਿਸ਼ਾਨਾ ਮਾਲਵੇਅਰ ਸਟੇਜਿੰਗ ਡਾਇਰੈਕਟਰੀਆਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਦੀ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ, ਖਾਸ ਕਰਕੇ ਲਿਖਣਯੋਗ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਸਕ੍ਰਿਪਟ-ਸੰਬੰਧੀ ਗਤੀਵਿਧੀ ਲਈ।
FROZEN#SHADOW ਮੁਹਿੰਮ ਦੇ ਵੱਖ-ਵੱਖ ਪੜਾਵਾਂ ਦੌਰਾਨ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਪੋਰਟ 443 ਉੱਤੇ ਐਨਕ੍ਰਿਪਟਡ ਚੈਨਲਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਇਸ ਲਈ, ਮਜ਼ਬੂਤ ਐਂਡਪੁਆਇੰਟ ਲੌਗਿੰਗ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਦੀ ਜ਼ੋਰਦਾਰ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਵਿਸਤ੍ਰਿਤ ਖੋਜ ਕਵਰੇਜ ਲਈ ਵਾਧੂ ਪ੍ਰਕਿਰਿਆ-ਪੱਧਰ ਲੌਗਿੰਗ ਦਾ ਲਾਭ ਲੈਣਾ ਸ਼ਾਮਲ ਹੈ।
