Multi-License Discount Quote
脅威データベース Malware SSLoadマルウェア

SSLoadマルウェア

MalwareMezoまで
翻訳内容:
日本語

セキュリティアナリストは、フィッシングメールを使用して SSLoad と呼ばれるマルウェアを配布する執拗なサイバー攻撃を発見しました。FROZEN#SHADOW と呼ばれるこの攻撃では、リモート デスクトップ アクセスに ConnectWise ScreenConnect とともにCobalt Strikeが使用されています。

SSLoad の主な目的は、秘密の侵入、データの流出、およびコマンド センターとの秘密の通信です。侵入されると、SSLoad はさまざまなバックドアとペイロードをインストールして、長期間存在し続け、検出を回避します。

サイバー犯罪者が利用するさまざまな感染経路

攻撃チェーンでは、アジア、ヨーロッパ、南北アメリカの組織を標的としたフィッシング メッセージが使用されます。これらのメールには、感染プロセスを開始する JavaScript ファイルへのリンクが含まれています。

研究者によるこれまでの調査結果では、SSLoad の 2 つの異なる配布方法が明らかにされています。1 つは Web サイトの問い合わせフォームを利用して悪意のある URL を埋め込む方法で、もう 1 つはマクロが有効になっている Microsoft Word 文書を使用する方法です。特に、後者の方法はマルウェアを介して Cobalt Strike を配布するのに対し、前者の方法はIcedID の後継となる可能性のあるLatrodectusと呼ばれる別のマルウェアの亜種を配布します。

SSLoad 攻撃はどのように機能しますか?

隠された JavaScript ファイル ('out_czlrh.js') は wscript.exe を介して実行され、'\wireoneinternet[.]info@80\share' のネットワーク共有から MSI インストーラー ファイル ('slack.msi') を取得するプロセスを開始します。取得されると、インストーラーは msiexec.exe を使用して実行されます。

その後、MSI インストーラーは、攻撃者が管理するドメインとの接続を確立し、rundll32.exe を介して SSLoad マルウェア ペイロードを取得して展開します。その後、侵害されたシステムはコマンド アンド コントロール (C2) サーバーに信号を送信し、情報を転送します。

この最初の偵察段階は、ScreenConnect をダウンロードしてインストールするために使用される、正当な敵対者シミュレーション ソフトウェアである Cobalt Strike の準備となります。これにより、脅威アクターはホストをリモート制御できるようになります。

攻撃者は被害者のネットワーク上のデバイスを感染させ、機密データを侵害する

完全なシステム アクセスを獲得した脅威アクターは、資格情報の取得を開始し、重要なシステム情報を収集します。サイバー犯罪者は、被害者のホストをスキャンして、ファイルやその他の機密文書内に保存されている資格情報を探します。

さらに、攻撃者はドメイン コントローラーを含むネットワーク内の他のシステムに移動し、最終的に独自のドメイン管理者アカウントを確立して被害者の Windows ドメインに侵入します。

この高いレベルのアクセスにより、悪意のある攻撃者はドメイン内の接続されたマシンすべてに侵入できるようになります。攻撃者が持続的に攻撃を仕掛けると、修復に膨大な時間とリソースが必要になるため、このシナリオは最終的にあらゆる組織にとって最悪の結果となります。

FROZEN#SHADOWのような攻撃キャンペーンへの対策

フィッシングは、脅威アクターが侵入を成功させ、マルウェアを侵入させ、内部システムを侵害するための主な手段であり続けています。最前線のユーザーがこれらの脅威を認識し、その識別方法を理解することは非常に重要です。迷惑メール、特に予期しない内容や緊急性のあるメールには注意してください。

予防と検出の点では、研究者は、未知の外部ソースからのファイルや添付ファイルのダウンロード、特に一方的なダウンロードは控えるよう推奨しています。攻撃でよく使用されるファイルの種類には、zip、rar、iso、pdf などがあり、このキャンペーンでは zip ファイルが特によく使用されています。さらに、マルウェアの標的になりやすいステージング ディレクトリ、特に書き込み可能なディレクトリでのスクリプト関連のアクティビティを監視することをお勧めします。

FROZEN#SHADOW キャンペーンのさまざまなフェーズを通じて、脅威アクターはポート 443 上の暗号化チャネルを利用して検出を回避しました。そのため、検出範囲の拡大のために追加のプロセス レベルのログ記録を活用するなど、強力なエンドポイント ログ記録機能を導入することを強くお勧めします。

トレンド

ベース認証

Rogue Websites, Adware, Browser Hijackers
Baseauthenticity.co.in は、訪問者を騙して不要なブラウザ通知を購読させるように特別に作成された、欺瞞的な Web サイトとして運営されています。この侵入的な戦術を採用することに加えて、この Web サイトはリダイレクトをトリガーする機能を備えている可能性があり、信頼性に欠け、ユーザーのオンライン セキュリティとプライバシーを危険にさらす可能性のある他のオンラインの目的地...

XploitSpy モバイル マルウェア

Mobile Malware, Trojans
「eXotic Visit」と呼ばれる新しい Android マルウェア キャンペーンが、南アジア、特にインドとパキスタンのユーザーを積極的にターゲットにしています。このキャンペーンは、専門の Web サイトと Google Play ストアを通じてマルウェアを配布しています。 研究者らは2021年11月からこのキャンペーンを監視していますが、既知の脅威アクターやグループとの関連は見つかりま...

Uazq ランサムウェア

Ransomware
情報セキュリティ研究者は、潜在的なマルウェアの脅威を徹底的に分析した結果、Uazq がランサムウェアのカテゴリに属することを特定しました。その主な動作モードは、感染したデバイスに保存されているデータを暗号化し、ファイル名に「.uazq」拡張子を追加して変更することです。たとえば、「1.png」という名前のファイルは「1.png.uazq」に名前が変更され、「2.pdf」は「2.pdf.uaz...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
79,529
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
63,429
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Msedge.exeとは何ですか?

Issue
57,989
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...
読み込んでいます...