innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

フィッシング攻撃がSSLoadマルウェア配布の手口に、全世界の組織が警戒を強化

フィッシング攻撃がSSLoadマルウェア配布の手口に、全世界の組織が警戒を強化 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-05 06:52 by admin

サイバーセキュリティ研究者たちは、フィッシングメールを利用してSSLoadマルウェアを配布する進行中の攻撃キャンペーンを発見した。このキャンペーンは、SecuronixによってFROZEN#SHADOWと名付けられ、Cobalt StrikeとConnectWise ScreenConnectリモートデスクトップソフトウェアの展開も含まれている。SSLoadはシステムに潜入し、機密情報を収集して運営者に送信するよう設計されている。このマルウェアは、システム内で複数のバックドアとペイロードを展開し、検出を避けながら持続性を維持する。

攻撃チェーンは、アジア、ヨーロッパ、アメリカの組織を無差別にターゲットにするフィッシングメッセージの使用を含み、メールには感染フローを開始するJavaScriptファイルへのリンクが含まれている。Palo Alto Networksは、SSLoadが配布される少なくとも2つの異なる方法を明らかにした。一つはウェブサイトのコンタクトフォームを使用して罠の仕掛けられたURLを埋め込む方法、もう一つはマクロを有効にしたMicrosoft Wordドキュメントを介する方法である。後者はCobalt Strikeを配信するための手段として、前者は異なるマルウェアであるLatrodectusの配信に使用されている。

JavaScriptファイルは実行されると、ネットワーク共有を介してMSIインストーラーファイルを取得し、それを実行してSSLoadマルウェアペイロードを取得し、コマンドアンドコントロールサーバーにシステム情報を送信する。初期の偵察フェーズの後、Cobalt Strikeが使用され、ScreenConnectをダウンロードしてインストールし、脅威アクターがホストを遠隔操作できるようにする。この段階で、脅威アクターは資格情報の取得と他の重要なシステム詳細の収集を試みる。攻撃者はネットワーク内の他のシステム、ドメインコントローラーを含む、に移動し、最終的に独自のドメイン管理者アカウントを作成することで被害者のWindowsドメインに侵入する。

また、AhnLab Security Intelligence Center (ASEC)は、LinuxシステムがPupy RATというオープンソースのリモートアクセストロイの木馬に感染していることを明らかにした。

【ニュース解説】

サイバーセキュリティの研究者たちが、フィッシングメールを通じてSSLoadマルウェアを配布する進行中の攻撃キャンペーンを発見しました。このキャンペーンは「FROZEN#SHADOW」と名付けられ、Cobalt StrikeやConnectWise ScreenConnectリモートデスクトップソフトウェアの使用も含まれています。SSLoadは、システムに潜伏し、機密情報を収集して運営者に送信することを目的として設計されています。このマルウェアは、システム内で複数のバックドアとペイロードを展開し、検出を避けつつ持続性を確保します。

攻撃チェーンは、アジア、ヨーロッパ、アメリカの組織を無差別に狙うフィッシングメッセージの使用から始まり、メールには感染フローを開始するJavaScriptファイルへのリンクが含まれています。このJavaScriptファイルは実行されると、ネットワーク共有を介してMSIインストーラーファイルを取得し、それを実行してSSLoadマルウェアペイロードを取得し、コマンドアンドコントロールサーバーにシステム情報を送信します。初期の偵察フェーズの後、Cobalt Strikeが使用され、ScreenConnectをダウンロードしてインストールし、脅威アクターがホストを遠隔操作できるようにします。

この攻撃キャンペーンの発見は、組織が直面しているサイバーセキュリティの脅威の複雑さを浮き彫りにしています。SSLoadのようなマルウェアは、高度な潜伏能力と持続性を持ち、一度侵入すると、システム内での検出を避けながら機密情報を収集し続けることができます。また、Cobalt Strikeのような合法的な侵入テストツールが悪用されることで、攻撃者はさらに隠密に活動を続けることが可能になります。

このような多段階攻撃は、組織にとって非常に危険です。攻撃者がドメイン管理者アカウントを作成し、Windowsドメインに侵入することができれば、組織内の任意のマシンにアクセスできるようになります。これにより、機密情報の盗難、ランサムウェアの展開、その他の悪意のある活動が容易になります。そのため、組織はフィッシング攻撃への警戒を強化し、エンドポイントのセキュリティを向上させることが重要です。

また、LinuxシステムがPupy RATに感染していることが明らかにされたことは、Windowsだけでなく、Linuxシステムもサイバー攻撃の対象になっていることを示しています。これは、異なるオペレーティングシステムに対する防御策の重要性を強調しています。

この攻撃キャンペーンの発見は、サイバーセキュリティの継続的な進化と、組織が直面する脅威の多様性を示しています。組織は、最新の脅威インテリジェンスに基づいて防御策を更新し続けることが、サイバー攻撃から保護するための鍵となります。

from Researchers Detail Multistage Attack Hijacking Systems with SSLoad, Cobalt Strike.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » フィッシング攻撃がSSLoadマルウェア配布の手口に、全世界の組織が警戒を強化

Latest News