One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8489190 |
| Date de publication | 2024-04-26 17:25:03 (vue: 2024-04-26 18:07:57) |
| Titre | Analyse de la campagne d'attaque # Frozen # Shadow en cours en tirant parti du logiciel malveillant SSLoad et du logiciel RMM pour la prise de contrôle du domaine Analysis of Ongoing FROZEN#SHADOW Attack Campaign Leveraging SSLoad Malware and RMM Software for Domain Takeover |
| Texte | #### Géolocations ciblées
- Asie centrale
- Asie de l'Est
- Amérique du Nord
- Europe du Nord
- Amérique du Sud
- Asie du sud
- Asie du sud est
- Europe du Sud
- Europe de l'Ouest
- L'Europe de l'Est
- L'Amérique centrale et les Caraïbes
## Instantané
Les chercheurs de Securonix ont découvert une campagne d'attaque en cours utilisant des e-mails de phishing pour livrer un logiciel malveillant appelé SSLoad.La campagne, nommée Frozen # Shadow, implique également le déploiement de Cobalt Strike et le logiciel de bureau à distance ConnectWise Screenconnect.
## Description
Selon Securonix, les organisations Frozen # Shadow victime semblent être ciblées au hasard, mais sont concentrées en Europe, en Asie et dans les Amériques.La méthodologie d'attaque implique la distribution des e-mails de phishing qui contiennent des liens menant à la récupération d'un fichier JavaScript qui initie le processus d'infection.Par la suite, le programme d'installation MSI se connecte à un domaine contrôlé par attaquant pour récupérer et exécuter la charge utile de logiciels malveillants SSLoad, suivi d'un beconing vers un serveur de commande et de contrôle (C2) ainsi que des informations système.
La phase de reconnaissance initiale ouvre le terrain pour le déploiement de Cobalt Strike, un logiciel de simulation adversaire légitime, qui est ensuite exploité pour télécharger et installer ScreenConnect.Cela permet aux acteurs de la menace de réquisitionner à distance l'hôte compromis et d'atteindre une persistance approfondie dans l'environnement cible.
## Les références
[https://www.securonix.com/blog/securonix-thereat-research-security-advisory-frozenshadow-attack-campaign/-Advisory-Frozenshadow-Attack-Campaign /)
[https://thehackernews.com/2024/04/researchers-detail-multistage-attack.html
#### Targeted Geolocations - Central Asia - East Asia - North America - Northern Europe - South America - South Asia - Southeast Asia - Southern Europe - Western Europe - Eastern Europe - Central America and the Caribbean ## Snapshot Researchers at Securonix have discovered an ongoing attack campaign using phishing emails to deliver a malware called SSLoad. The campaign, named FROZEN#SHADOW, also involves the deployment of Cobalt Strike and the ConnectWise ScreenConnect remote desktop software. ## Description According to Securonix, FROZEN#SHADOW victim organizations appear to be targeted randomly, but are concentrated in Europe, Asia, and the Americas. The attack methodology involves the distribution of phishing emails that contain links leading to the retrieval of a JavaScript file that initiates the infection process. Subsequently, the MSI installer connects to an attacker-controlled domain to fetch and execute the SSLoad malware payload, followed by beaconing to a command-and-control (C2) server along with system information. The initial reconnaissance phase sets the stage for the deployment of Cobalt Strike, a legitimate adversary simulation software, which is then leveraged to download and install ScreenConnect. This enables the threat actors to remotely commandeer the compromised host and achieve extensive persistence in the target environment. ## References [https://www.securonix.com/blog/securonix-threat-research-security-advisory-frozenshadow-attack-campaign/](https://www.securonix.com/blog/securonix-threat-research-security-advisory-frozenshadow-attack-campaign/) [https://thehackernews.com/2024/04/researchers-detail-multistage-attack.html](https://thehackernews.com/2024/04/researchers-detail-multistage-attack.html) |
| Envoyé | Oui |
| Condensat | #### according achieve actors adversary advisory along also america americas analysis appear are asia attack attacker beaconing but called campaign campaign/ caribbean central cobalt com/2024/04/researchers com/blog/securonix command commandeer compromised concentrated connects connectwise contain control controlled deliver deployment description desktop detail discovered distribution domain download east eastern emails enables environment europe execute extensive fetch file followed frozen#shadow frozenshadow geolocations have host html https://thehackernews https://www infection information initial initiates install installer involves javascript leading legitimate leveraged leveraging links malware methodology msi multistage named north northern ongoing organizations payload persistence phase phishing process randomly reconnaissance references remote remotely research researchers retrieval rmm screenconnect security securonix server sets simulation snapshot software south southeast southern ssload stage strike subsequently system takeover target targeted then threat using victim western which the |
| Tags | Malware Threat |
| Stories | |
| Notes | ★★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.