Microsoft y FireEye Revelan Nuevas Muestras de Malware Vinculadas a los Atacantes de SolarWinds
Tabla de contenidos:
Un análisis reciente realizado por Microsoft Threat Intelligence Center y Microsoft 365 Defender Research Team revela tres muestras maliciosas más aplicadas por el notorio grupo APT Nobelium durante el devastador ataque a la cadena de suministro de SolarWinds. Según el informe, el malware de segunda etapa recientemente descubierto fue utilizado por los adversarios para eludir la detección, ganar persistencia y cargar cargas útiles adicionales en la red comprometida.
Puertas traseras GoldMax, GoldFinder y Sibot
Investigación de Microsoft detalles tres nuevas cepas denominadas GoldMax, GoldFinder, y Sibot. La investigación simultánea de FireEye también señala a la nueva muestra maliciosa llamada Sunshuttle.
Según los expertos en seguridad, GoldMax (Sunshuttle) es una puerta trasera sofisticada y nefasta de comando y control (C&C) utilizada con fines de ciberespionaje. Aplica técnicas de evasión complejas para mezclar el tráfico de C&C y disfrazarlo como si proviniera de sitios web legítimos como Google, Yahoo o Facebook. El servidor controlado por el APT utilizado por el malware fue registrado anónimamente a través de NameSilo. Este proveedor de dominios es utilizado frecuentemente por actores APT respaldados por naciones rusas e iraníes.
La segunda amenaza recientemente identificada, GoldFinder, actúa como una herramienta trazadora personalizada de HTTP. Puede localizar servidores proxy y herramientas de seguridad de red involucradas en las comunicaciones C&C entre el host comprometido y el servidor.
La última muestra de malware, llamada Sibot, es una amenaza VBScript que sirve para lograr la persistencia y cargar malware adicional desde el servidor de un atacante remoto. Para permanecer bajo el radar, un archivo VBScript malicioso se hace pasar por tareas legítimas de Windows y se ejecuta como una tarea programada.
Microsoft y FireEye señalan que las cepas de malware personalizadas mencionadas anteriormente se utilizaron entre junio y septiembre de 2020 en los ataques dirigidos contra múltiples proveedores. El software malicioso se aprovechó en las últimas etapas de intrusión, justo después de obtener acceso inicial a través de credenciales volcadas y movimiento lateral con TearDrop malware. Notablemente, las cepas maliciosas se personalizaron para adaptarse a redes específicas, siendo adaptadas a tareas únicas posteriores al compromiso. Según Microsoft, el nuevo malware posee capacidades mejoradas y utiliza patrones de ataque inusuales, lo que demuestra la creciente sofisticación de los hackers de Nobelium.
APT Nobelium
Después de una investigación a fondo sobre el ataque a la cadena de suministro de SolarWinds, Microsoft comenzó a hablar de un nuevo actor de amenazas denominado APT Nobelium. Se cree que el nuevo colectivo de hackers es un actor estatal sumamente hábil en evadir la detección y ofuscar el código de sus herramientas maliciosas. Aunque actualmente se desconoce el origen de los atacantes, los analistas de seguridad de Microsoft creen que el grupo está afiliado a Rusia.
A pesar de ser un jugador nuevo en la arena de la ciberseguridad, Nobelium ya ha ganado una sólida reputación como un actor sofisticado capaz de producir malware personalizado y lanzar operaciones de ciberespionaje sin precedentes. La comunidad global centró su atención en la nueva amenaza después de que los hackers comprometieron con éxito a más de 18,000 organizaciones a través de actualizaciones de SolarWinds Orion troyanizadas. La lista de víctimas incluye a más de 452 proveedores de la lista Fortune 500, nueve agencias federales de EE. UU. y empresas de seguridad líderes en el mundo. Particularmente, la actividad del grupo fue analizada por diferentes proveedores de seguridad, incluyendo FireEye rastreando como UNC2452, Violexity rastreando al colectivo como DarkHalo, y Microsoft llamándolo APT Nobelium.
Desde su aparición a finales de 2019, los hackers de Nobelium han producido y utilizado múltiples cepas maliciosas personalizadas durante sus intrusiones. Los expertos en seguridad previamente han identificado cuatro muestras diferentes, incluyendo Sunburst, Sunspot, Raindrop, y Teardrop. Y las cepas descubiertas recientemente promueven este conteo a siete, con GoldMax, GoldFinder, y Sibot en la lista.
Detectando Ataques de APT Nobelium
Para detectar posible actividad maliciosa del APT Nobelium y defenderse proactivamente contra GoldMax, GoldFinder, y Sibot malware, nuestros agudos desarrolladores de Threat Bounty lanzaron reglas Sigma comunitarias ya disponibles en Threat Detection Marketplace.
Rundll32.exe .sys Cargas de Imagen Por Referencia
Las reglas tienen traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Tácticas: Ejecución, Evasión de Defensa
Técnicas: Ejecución de Binarios Firmados y Proxies (T1218)
Para encontrar más contenido de detección que cubra los ataques de APT Nobelium, te recomendamos revisar nuestros artículos anteriores del blog dedicados al análisis de la brecha de FireEye, Sunburst and Raindrop , ataque Golden SAML , y visión general de Dark Halo .
Obtén una suscripción gratuita a Threat Detection Marketplace, una plataforma líder mundial de Detección como Código para contenido SOC que proporciona acceso y soporte a más de 100,000 algoritmos de detección y respuesta para más de 23 tecnologías SIEM, EDR y NTDR líderes en el mercado. ¿Quieres crear tus propias detecciones y compartirlas con la comunidad global de defensores cibernéticos? Únete a nuestro Programa de Recompensas por Amenazas!