详细内容或原文请订阅后点击阅览
SSLoad: охота на цифровые отпечатки объявляется открытой
ь вредоносную нагрузку
来源:安全实验室新闻频道使用防病毒组件可以让黑客绕过检测并部署恶意负载。
Intezer 的网络安全研究人员发现了一种名为 SSLoad 的新恶意软件,该恶意软件使用以前未知的 PhantomLoader 加载程序进行分发。
整数安全研究人员 Nicole Fishbein 和 Ryan Robinson 在本周发布的一份报告中表示,“通过对文件进行二进制修补并使用自我修改技术绕过检测,加载程序被添加到合法的 DLL(通常是 EDR 或防病毒产品)中。”
DLL 本周发布。由于交付方法多种多样,SSLoad 很可能通过恶意软件即服务 (MaaS) 模型提供给其他网络犯罪分子。该恶意软件通过网络钓鱼电子邮件渗透系统,执行侦察,并将其他类型的恶意软件下载到受害者的计算机上。
MaaS此前,Palo Alto Networks Unit 42 和 Securonix 的研究人员报告称,使用 SSLoad 分发 Cobalt Strike,这是一种通常用于后期利用目的的合法攻击模拟软件。该恶意软件至少自 2024 年 4 月起就已被积极使用。
攻击通常从使用 MSI 安装程序开始,该安装程序启动后会启动感染序列。具体来说,它会导致 PhantomLoader 的执行,这是一个用 C/C++ 编写的 32 位 DLL,伪装成 360 Total Security 防病毒软件的 DLL 模块(“MenuEx.dll”)。
恶意软件的主要阶段旨在提取并运行有效负载,这是一个 Rust DLL,进而从远程服务器接收主 SSLoad 有效负载。此操作的详细信息被编码在攻击者控制的 Telegram 通道中,该通道充当解析器。
C2