TTL OSINT

Анализ вредоносного ПО SS Load: Всесторонний технический анализ

SS Load - это скрытая вредоносная программа, используемая для проникновения в системы с помощью фишинговых электронных писем, сбора разведывательных данных и передачи данных обратно своим операторам при доставке различной полезной нагрузки. Он действует с апреля 2024 года, и недавние кампании с использованием поддельных документов Word, предоставляющих библиотеку SSLoad DLL, или фишинговых электронных писем приводят к тому, что поддельные страницы Azure загружают скрипт JavaScript, который в конечном итоге загружает установщик MSI, загружающий полезную нагрузку SSLoad.Анализ начинается с установщика MSI, который запускает цепочку доставки, состоящую из нескольких загрузчиков, и в конечном итоге развертывает конечную полезную нагрузку. Начальный загрузчик PhantomLoader представляет собой 32-разрядную библиотеку DLL, написанную на C/C++, и служит в качестве загрузчика первого этапа. Он добавляется в легальную библиотеку DLL, обычно в EDR или AV-продукты, путем бинарного исправления файла и использования методов самоизменения, чтобы избежать обнаружения. PhantomLoader пытается замаскироваться под легальную библиотеку DLL, связанную с китайской антивирусной программой 360 Total Security.Полезная нагрузка хранится в зашифрованном виде в разделе ресурсов PhantomLoader, а логика декодирования использует метод XOR-дешифрования, используя строку стека в качестве ключа. Как только код расшифрован, указатель инструкции указывает на первую инструкцию, и заглушка реализует ту же самую операцию XOR-расшифровки, используя тот же ключ для извлечения закодированной полезной нагрузки из раздела ресурсов. После расшифровки полезной нагрузки заглушка загружает и выполняет ее.Второй этап Phantom Loader - это небольшая, простая 32-разрядная библиотека DLL, написанная на C/C++, которая загружает полезную нагрузку и устанавливает точку входа для функции 'DllRegisterServer'.Конечная полезная нагрузка - это 32-разрядная библиотека DLL, написанная на Rust и обозначенная как SSLoad. Этот этап не был описан в предыдущих блогах, что указывает на то, что это может быть дополнительным этапом в цепочке доставки. Вариант загрузки SS начинается с расшифровки URL-адреса и пользовательского агента, который перенаправляет на Telegram-канал с именем Assload, служащий в качестве сайта-хранилища. Канал содержит еще одну зашифрованную строку, указывающую на сервер управления (C2), ответственный за доставку конечной полезной нагрузки. Затем вредоносная программа отправляет HTTP-запрос GET на этот URL-адрес, чтобы получить следующую полезную информацию с сервера C2.В варианте SSLoad используется специальный уникальный метод расшифровки строк с использованием стандартного алгоритма RC4, при этом каждая строка зашифровывается с помощью своего собственного отдельного ключа, хранящегося рядом с зашифрованной строкой. Вредоносная программа использует кодировку Base64 и выполняет расшифровку

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT для обеспечения более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://intezer.com/blog/research/ssload-technical-malware-analysis/

Выборочные показатели Compromise:

• 90f1511223698f33a086337a6875db3b5d6fbcce06f3195cdd6a8efa90091750
• 73774861d946d62c2105fef4718683796cb77de7ed42edaec7affcee5eb0a0ee
• 265514c8b91b96062fd2960d52ee09d67ea081c56ebadd7a8661f479124133e9
• 85.239.53.219
• 09ffc4188bf11bf059b616491fcb8a09a474901581f46ec7f2c350fbda4e1e1c

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал