Dark Halo APT steht hinter SolarWinds Hack, Malwarebytes Angriff
Inhaltsverzeichnis:
Eine neue, hochentwickelte APT-Gruppe, genannt Dark Halo (UNC2452, SolarStrom), ist kürzlich in der Cybersicherheits-Szene aufgetaucht und hat in den letzten Monaten in der Presse für Schlagzeilen gesorgt. Forscher glauben, dass dieser fortgeschrittene Akteur hinter dem historischen SolarWinds-Hack sowie dem Angriff auf den Sicherheitsanbieter Malwarebytes stehen könnte.
Wer ist Dark Halo?
Sicherheitsexperten von Volexity schätzen dass Dark Halo seine bösartigen Operationen Ende 2019 gestartet hat. Die Gruppe startete mehrere Angriffe gegen den unbenannten US-Think-Tank, um die E-Mails seiner leitenden Angestellten zu stehlen. Vermutlich suchte Dark Halo nach wertvollen Daten, um weitere Aufklärungsoperationen gegen große US-Anbieter und Regierungsorganisationen zu verbessern. Bemerkenswert ist, dass Bedrohungsakteure einen umfangreichen bösartigen Werkzeugkasten einsetzten, einschließlich Red-Team-Tools und ausgefeilter Malware-Beispiele. Solche Instrumente wurden jedoch nur gelegentlich und nur dann verwendet, wenn andere Möglichkeiten blockiert blieben. Die Selektivität in den Methoden erklärt sich durch das Bestreben der APT, während ihrer Datendiebstahlsaktivitäten unter dem Radar zu bleiben.
Volexity beschreibt drei aufeinanderfolgende Angriffe auf den US-Think-Tank, die im Zeitraum Q3 2019 – Q2 2020 stattfanden. Zunächst nutzten Dark Halo-Mitglieder ausgeklügelte Implantate und Backdoor-Trojaner, um die Organisation zu durchdringen und unentdeckt zu bleiben. Nachdem sie aufgedeckt und blockiert wurden, missbrauchten Gegner eine Schwachstelle zur Remote-Ausführung im Microsoft Exchange Control Panel (CVE-2020-0688), um ihren Zugang zu den organisatorischen Ressourcen wiederherzustellen. Schließlich kompromittierte Dark Halo den Anbieter zum dritten Mal durch bösartig modifizierte SolarWinds Orion-Updates.
Die Forschung von Volexity korreliert eng mit den Schlussfolgerungenvon FireEye, die es Forschern ermöglicht, zu schätzen, dass Dark Halo dieselbe Gruppe wie UNC2452 ist, die für den SolarWinds-Angriff verantwortlich ist. Obwohl die Herkunft der Hacker noch unklar ist, verdächtigen die US-Geheimdienste, dass Dark Halo im Auftrag der russischen Regierung arbeitet.
Dark Halo Angriffsablauf
Sicherheitsforscher beschreiben einige bösartige Ansätze, die Dark Halo anwandte, um seine Ziele zu erreichen. Insbesondere nutzten die Gegner eine interessante Methode, um E-Mail-Daten aus der Outlook Web App (OWA) während ihrer Kampagnen zu extrahieren. Obwohl die angegriffenen Postfächer mit Duo-Multi-Faktor-Authentifizierung geschützt waren, gelang es den Cyberkriminellen, die E-Mail-Konten zu kompromittieren, indem sie einfach die gestohlenen Anmeldedaten eingaben. Der zweite Faktor wurde in diesem Fall nicht ausgelöst, und der Duo-Authentifizierungsserver registrierte keine Authentifizierungsversuche. Die Untersuchung ergab, dass Dark Halo erfolgreich den Duo-Integrationsgeheimschlüssel (akey) vom OWA-Server ergriff. Weiterhin nutzten sie diesen Schlüssel, um das duo-sid-Cookie zu meistern und es dem Server als gültige Instanz zu präsentieren.
Was Aufklärungsaktivitäten angeht, so verließ sich Dark Halo offenbar auf die Exchange-Server. Insbesondere identifizierten Sicherheitsexperten, dass Hacker Exchange nutzten, um eine Liste der Benutzer auf dem Server abzurufen, deren aktuelle Rolle zu überprüfen und wertvolle Daten über das konfigurierte virtuelle Verzeichnis zu erhalten. Außerdem nutzten Hacker das AdFind-Befehlszeilentool, um Daten aus dem Active Directory zu erfassen.
Sicherheitsexperten merken an, dass Hacker viel Wert darauf legten, ihre bösartigen Aktionen zu verschleiern. Berichten zufolge löschten die Gegner alle verknüpften Protokolle aus den angegriffenen Anwendungen und entfernten alle Spuren ihrer Befehle. Ein solches Verhalten beweist erneut das Bestreben der Hacker, Informationen auszukundschaften, nicht zu zerstören, und ihr Bestreben, unter dem Radar zu bleiben, während sie nach wertvollen Informationen suchen.
SolarWinds Hack
Forscher stellen mit Zuversicht fest, dass die Dark Halo APT-Gruppe für die SolarWinds bahnbrechende Attacke verantwortlich ist. Die Gruppe kompromittierte Dutzende öffentlicher und privater Institutionen weltweit durch Trojanisierte SolarWinds Orion-Updates. Wie in den zuvor beschriebenen Kampagnen nutzten Angreifer mehrere Werkzeuge, um ihre Aktivitäten zu verschleiern. Forscher identifizierten zum Beispiel zwei bösartige Stämme, genannt Teardrop und Raindrop, die den Cobalt Strike Beacon in die kompromittierten Umgebungen lieferten und die Fähigkeit der Angreifer verbesserten, sich lateral über das Netzwerk zu bewegen. Die Untersuchung ist noch im Gange, wobei ständig neue Details enthüllt werden. Trotzdem sind sich alle Experten einig, dass Dark Halo eine fortschrittliche Bedrohungsgruppe ist, wahrscheinlich staatlich finanziert. Die Hacker können eine komplexe Angriffsroutine unterstützen, um sensible Daten von den Organisationen ihres Interesses zu stehlen.
Malwarebytes Einbruch
Am 19. Januar 2021 gab ein weiteres Sicherheitsunternehmen, Malwarebytes, bekannt, Opfer des Dark Halo-Angriffs geworden zu sein. Laut der offiziellen Erklärung des Malwarebytes-CEOs gelang es den Hackern, mehrere E-Mail-Konten von Unternehmensmitarbeitern zu durchdringen. Berichten zufolge nutzten die Gegner ein Sicherheitsloch im Azure Active Directory und eine inaktive Office 365-Sicherheits-App, um die E-Mail-Daten zu erfassen. Malwarebytes behauptet, dass dieser Einbruch nicht im Zusammenhang mit dem SolarWinds-Hack steht, da das Unternehmen in seinem täglichen Betrieb keine SolarWinds-Software verwendet. Des Weiteren erklärt das Unternehmen, dass Hacker keinen Zugang zu seinen Umgebungen hatten, sodass alle Produkte bedenkenlos genutzt werden können.
Die Malwarebytes-Kompromittierung erhöht die Anzahl der von Dark Halo kompromittierten Sicherheitsanbieter auf vier, wobei FireEye, Microsoft und CrowdStrike bereits auf dieser Liste stehen.
Dark Halo Erkennung
Um mögliche Dark Halo-Aktivitäten zu erkennen, veröffentlichte das SOC Prime-Team von Threat-Hunting-Ingenieuren eine dedizierte Sigma-Regel:
https://tdm.socprime.com/tdm/info/FYiZuTI6GcQ2/fyKSZHYBR-lx4sDxgRZ7/
Die Regel bietet Übersetzungen für folgende Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Taktiken: Entdeckung
Techniken: Kontenerkennung (T1087)
Zusätzlich können Sie ein Regelpaket von unserem Team herunterladen, das Echtzeit-Korrelationsregeln für QRadar enthält, um das Vorhandensein von Dark Halo (UNC2452) in Ihrem Netzwerk zu erkennen:
https://tdm.socprime.com/tdm/info/nDm8Ct8egXfC/gScmbHYBR-lx4sDxOBVC/
Weitere Regeln im Zusammenhang mit der bösartigen Aktivität von Dark Halo finden Sie in unseren Blogbeiträgen, die sich mit dem FireEye Einbruch, SUNBURST Backdoor-Analyse und der Raindrop Malware-Übersicht befassen. Zusätzliche Details zum SolarWinds-Vorfall finden Sie in unseren Beiträgen zur Golden SAML Attacke und SUPERNOVA Backdoor.
Suchen Sie nach dem besten SOC-Inhalt, um Ihre Bedrohungserkennungsfähigkeiten zu verbessern? Abonnieren Sie den Threat Detection Marketplace, eine branchenführende Threat Detection Content-as-a-Service (CaaS)-Plattform, die SecOps-Teams dabei hilft, ihre Sicherheitsanalysen zu verbessern. Möchten Sie Ihre eigenen Sigma-Regeln erstellen und dedizierte Erkennungsinhalte erstellen? Treten Sie unserem Threat Bounty-Programm bei, um Ihre Einsichten mit der SOC Prime Community zu teilen!
