El arsenal de malware de SolarWinds se expande con Raindrop - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El arsenal de malware de SolarWinds se expande con Raindrop

Hola, un placer verte por aquí. Soy Eduardo Arroyo y en el día de hoy hablaremos sobre El arsenal de malware de SolarWinds se expande con Raindrop

El arsenal de malware de SolarWinds se expande con Raindrop

La puerta trasera posterior al compromiso instala Cobalt Strike para ayudar a los atacantes más a los lados a través de las redes de las víctimas.

Otra pieza de malware, llamada Raindrop, quedó expuesta durante los extensos ataques a la cadena de suministro de SolarWinds. Fue utilizado en ataques dirigidos después del compromiso masivo inicial de Sunburst del esfuerzo, dijeron los investigadores.

El ataque espía de SolarWinds, que tuvo como objetivo varias agencias gubernamentales de EE. UU., Empresas de tecnología como Microsoft y FireEye, y muchas otras, comenzó con una actualización de software envenenada que proporcionó la puerta trasera de Sunburst a unas 18.000 organizaciones la primavera pasada. Después de ese ataque de amplio alcance, los actores de la amenaza (que se cree que tienen vínculos con Rusia) seleccionaron objetivos específicos para infiltrarse más, lo que hicieron en el transcurso de varios meses. Los compromisos se descubrieron en diciembre.

Los investigadores identificaron a Raindrop como una de las herramientas utilizadas para esos ataques posteriores. Según los analistas de Symantec, es un cargador de puerta trasera que libera Cobalt Strike para realizar movimientos laterales a través de las redes de las víctimas.

Cobalt Strike es una herramienta de prueba de penetración, disponible comercialmente. Envíe balizas para detectar vulnerabilidades en la red. Cuando se utiliza para el propósito previsto, simula un ataque. Desde entonces, los administradores de amenazas han descubierto cómo luchar contra las redes para propagarse a un entorno, exfiltrar datos, distribuir malware y más.

Symantec observó el malware utilizado en tres equipos víctimas diferentes. La primera fue una lente de alto valor, con acceso a computadoras y software de administración instalado. Ese software de gestión podría utilizarse para acceder a cualquier otra computadora de la organización comprometida.

Además de instalar Cobalt Strike, los investigadores de Symantec también observaron una versión legítima de 7-Zip utilizada para instalar Directory Services Internals (DSInternals) en la computadora. 7-Zip es un archivador de archivos de código abierto y gratuito, mientras que DSInternals es una herramienta legítima que se puede utilizar para consultar servidores de Active Directory y recuperar datos, generalmente contraseñas, claves o hashes de contraseñas.

En la segunda víctima, Raindrop instaló Cobalt Strike y luego ejecutó los comandos de PowerShell que estaban destinados a instalar instancias adicionales de Raindrop en computadoras adicionales de la organización.

Y en una tercera víctima, Raindrop instaló Cobalt Strike sin un servidor de comando y control basado en HTTP.

«… estaba más bien configurado para usar una tubería de red sobre SMB», según el análisis de Symantec, lanzado el lunes. «Es posible que en este caso la computadora de la víctima no tuviera acceso directo a Internet y, por lo tanto, el comando y el control se enrutaron a través de otra computadora en la red local».

Raindrop se une a otro malware personalizado que se ha documentado como utilizado en los ataques, incluida la herramienta Teardrop, que según los investigadores fue proporcionada por la puerta trasera inicial de Sunburst.

Tanto Raindrop como Teardrop actúan como cargadores para Cobalt Strike; y las muestras de Raindrop que utilizan la comunicación HTTPS C2 siguen patrones de configuración muy similares a Teardrop, dijeron los investigadores. Sin embargo, Raindrop usa un empaquetador personalizado que no sea Teardrop; y Raindrop no se recupera directamente de Sunburst, dijeron los investigadores.

Symantec descubrió que Raindrop se compila como una DLL, que se crea a partir de una versión modificada de 7-Zip. En este caso, los autores del malware incorporaron una carga útil codificada en el código 7-Zip.

«El código 7-Zip no se utiliza y está diseñado para ocultar la funcionalidad maliciosa agregada por los atacantes», explicaron los investigadores. «Cada vez que se carga la DLL, inicia un nuevo subproceso desde la subrutina DllMain que ejecuta el código malicioso».

El hilo malicioso primero retrasa la ejecución en un intento de evadir la detección. Luego, para encontrar y extraer la carga útil, el empaquetador usa esteganografía, escaneando los bytes comenzando desde el principio de la subrutina hasta que encuentra un código que señala el inicio del código de carga útil.

Según Symantec, la extracción de código «simplemente implica copiar datos de ubicaciones predeterminadas que corresponden a los valores inmediatos de las instrucciones relevantes de la máquina».

Luego descifra y descomprime la carga útil extraída utilizando los algoritmos AES y LZMA respectivamente, luego ejecuta la carga útil descifrada como shellcode.

«El descubrimiento de Raindrop es un paso significativo en nuestra investigación de los ataques de SolarWinds, ya que proporciona información adicional sobre la actividad posterior al compromiso en organizaciones de interés para los atacantes», según el análisis de Symantec. «Mientras Teardrop se usaba en computadoras que estaban infectadas con el troyano Sunburst original, Raindrop apareció en otra parte de la red, utilizada por los atacantes para moverse hacia los lados y distribuir cargas útiles a otras computadoras».

  • SolarWinds Hack potencialmente relacionado con Turla APT
  • SolarWinds se enfrenta a Chris Krebs y Alex Stamos en Wake of Attack
  • Microsoft ha estado involucrado en el esfuerzo de espionaje de SolarWinds, uniéndose a agencias federales
  • Los secretos de C2 de Sunburst revelan a las víctimas de SolarWinds en la segunda etapa
  • La Agencia de Armas Nucleares ha experimentado ciberataques cada vez mayores
  • SolarWinds Perfect Storm: contraseña predeterminada, acceso a ventas y más
  • DHS entre los afectados en sofisticados ciberataques por adversarios extranjeros
  • FireEye Cyberattack compromete las herramientas de seguridad del equipo rojo

¿Está la cadena de suministro de software de su empresa lista para un ataque? El miércoles 20 de enero a las 2 p.m. ET, comience a identificar los puntos débiles en su cadena de suministro con el asesoramiento práctico de un experto, como parte de un seminario web de participación limitada y LIVE Threatpost. Se invita a CISO, AppDev y SysAdmin a preguntar a un grupo de expertos en ciberseguridad de primer nivel cómo pueden evitar quedar atrapados en un mundo posterior al hack de SolarWinds. La asistencia es limitada: y reserve un asiento para este seminario web exclusivo de Threatpost Supply Chain Security: 20 de enero a las 2 p.m. ET.

.

Recuerda compartir en una historia de tu Instagram para que tus colegas lo disfruten

??? ? ? ???

Comparte