APT Dark Halo Está Detrás del Ataque a SolarWinds y la Brecha de Malwarebytes
Tabla de contenidos:
Un nuevo y sofisticado grupo APT, denominado Dark Halo (UNC2452, SolarStrom), ha emergido recientemente en la arena de la ciberseguridad, acaparando los titulares de prensa en los últimos meses. Los investigadores creen que este actor avanzado podría estar detrás del histórico hack de SolarWinds así como del ataque contra el proveedor de seguridad Malwarebytes.
¿Quién es Dark Halo?
Expertos en seguridad de Volexity estiman que Dark Halo comenzó sus operaciones maliciosas a finales de 2019. El grupo lanzó varios ataques contra un think tank estadounidense no identificado para robar los correos electrónicos de sus altos ejecutivos. Presumiblemente, Dark Halo buscaba datos valiosos para mejorar operaciones de reconocimiento adicionales contra importantes proveedores y organizaciones gubernamentales de EE.UU. Notablemente, los actores de amenazas aplicaron un conjunto rico de herramientas maliciosas, incluidas herramientas de Red Team y muestras de malware sofisticadas. Sin embargo, tales instrumentos se utilizaron ocasionalmente y solo en caso de que otras oportunidades permanecieran bloqueadas. La selectividad en los métodos se explica por la intención del APT de permanecer bajo el radar durante sus actividades de robo de datos.
Volexity describe tres ataques secuenciales contra el think tank estadounidense que ocurrieron durante el Q3 2019 – Q2 2020. Inicialmente, los miembros de Dark Halo utilizaron implantes sofisticados y troyanos de puerta trasera para penetrar en la organización y permanecer inadvertidos. Después de ser descubiertos y bloqueados, los adversarios abusaron de una falla de ejecución remota en el Panel de Control de Microsoft Exchange (CVE-2020-0688) para restaurar su acceso a los activos organizacionales. Finalmente, Dark Halo comprometió al proveedor por tercera vez a través de actualizaciones maliciosamente modificadas de SolarWinds Orion.
La investigación de Volexity resuena estrechamente con las conclusiones, permitiendo a los investigadores estimar que Dark Halo es el mismo grupo UNC2452 responsable del ataque a SolarWinds. Aunque el origen de los hackers aún no está claro, la inteligencia estadounidense sospecha que Dark Halo está trabajando en nombre del gobierno ruso.
Rutina de Ataque de Dark Halo
Los investigadores de seguridad detallan algunos enfoques maliciosos que Dark Halo aplicó para lograr sus objetivos. En particular, los adversarios usaron un método interesante para extraer datos de correo electrónico de Outlook Web App (OWA) en el curso de sus campañas. Aunque los buzones de correo objetivo estaban protegidos con autenticación multifactor Duo, los ciberdelincuentes lograron comprometer las cuentas de correo electrónico simplemente ingresando los datos de inicio de sesión robados. El segundo factor no se activó en este caso, y el servidor de autenticación de Duo no registró ningún intento de autenticación. La investigación reveló que Dark Halo capturó con éxito la clave secreta de integración de Duo (akey) del servidor OWA. Además, usaron esta clave para dominar la cookie duo-sid y presentarla al servidor como una instancia válida.
En cuanto a las actividades de reconocimiento, Dark Halo evidentemente confió en los servidores de Exchange. Específicamente, los expertos en seguridad identificaron que los hackers usaron Exchange para recuperar una lista de usuarios en el servidor, verificar su rol actual y obtener datos valiosos sobre el Directorio Virtual configurado. Además, los hackers utilizaron la herramienta de línea de comandos AdFind para capturar datos del Active Directory.
Los expertos en seguridad notan que los hackers prestaron mucha atención en disfrazar sus acciones maliciosas. Según informes, los adversarios eliminaron todos los registros afiliados de las aplicaciones objetivo y limpiaron cualquier rastro de sus comandos. Este comportamiento nuevamente prueba la intención de los hackers de hacer reconocimiento, no destrucción, y su deseo de pasar desapercibidos mientras buscan piezas valiosas de información.
Hack de SolarWinds
Los investigadores afirman con confianza que el grupo APT Dark Halo es responsable del ataque histórico de SolarWinds. El grupo comprometió docenas de instituciones públicas y privadas alrededor del mundo a través de actualizaciones de SolarWinds Orion troyanizadas. Como en campañas descritas anteriormente, los atacantes utilizaron múltiples herramientas para camuflar sus actividades. Por ejemplo, los investigadores identificaron dos cepas maliciosas, denominadas Teardrop y epoch-making attack. The group compromised dozens of public and private institutions around the globe via Trojanized SolarWinds Orion updates. As in previously described campaigns, attackers used multiple tools to camouflage their activities. For instance, researchers identified two malicious strains, dubbed Teardrop and Raindrop, which delivered the Cobalt Strike Beacon to the compromised environments and enhanced the attackers’ ability to move laterally across the network. The investigation is still ongoing, with new details constantly being revealed. Still, all experts are consonant that Dark Halo is an advanced threat group, likely state-sponsored. The hackers can support a complex attack routine to steal sensitive data from the organizations of their interest.
Incursión en Malwarebytes
El 19 de enero de 2021, otra compañía de seguridad, Malwarebytes, anunció que había sido víctima del ataque de Dark Halo. Según la declaración oficial del CEO de Malwarebytes, los hackers lograron penetrar en varias cuentas de correo electrónico de empleados de la compañía. Según informes, los adversarios se apoyaron en un agujero de seguridad en el Azure Active Directory y una aplicación de seguridad de Office 365 inactiva para capturar los datos de correo electrónico. Malwarebytes afirma que esta incursión no está relacionada con el hack de SolarWinds ya que la compañía no confía en ningún software de SolarWinds en su rutina diaria. Además, la compañía dice que los hackers no accedieron a ninguno de sus entornos, por lo que todos los productos siguen seguros para usar.
La brecha de Malwarebytes promueve el conteo de proveedores de seguridad comprometidos por Dark Halo a cuatro, con FireEye, Microsoft y CrowdStrike ya en esta lista.
Detección de Dark Halo
Para detectar posible actividad de Dark Halo, el equipo de caza de amenazas de SOC Prime lanzó una regla Sigma dedicada:
https://tdm.socprime.com/tdm/info/FYiZuTI6GcQ2/fyKSZHYBR-lx4sDxgRZ7/
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Tácticas: Discovery
Técnicas: Account Discovery (T1087)
Además, puede descargar un paquete de reglas de nuestro equipo que contiene reglas de correlación en tiempo real para QRadar para detectar la presencia de Dark Halo (UNC2452) dentro de su red:
https://tdm.socprime.com/tdm/info/nDm8Ct8egXfC/gScmbHYBR-lx4sDxOBVC/
Puede encontrar más reglas relacionadas con la actividad maliciosa de Dark Halo en nuestras publicaciones de blog dedicadas a la brecha de FireEye, breach, análisis del backdoor SUNBURST, y descripción general de malware. Puede consultar detalles adicionales sobre el incidente de SolarWinds en nuestras publicaciones dedicadas al Raindrop malware overview. Additional details on the SolarWinds incident you might check in our posts devoted to the ataque Golden SAML y el backdoor SUPERNOVA. SUPERNOVA backdoor.
¿Buscando el mejor contenido SOC para mejorar sus capacidades de detección de amenazas? Suscríbase al Threat Detection Marketplace, una plataforma líder de Contenido de Detección de Amenazas como Servicio (CaaS) que ayuda a los equipos de SecOps a avanzar en sus análisis de seguridad. ¿Desea producir sus propias reglas Sigma y crear contenido de detección dedicado? Únase a nuestro programa Threat Bounty para compartir sus perspectivas con la comunidad de SOC Prime!
