Nuevo malware Raindrop conectado a la brecha de SolarWinds
Tabla de contenidos:
La inspección en profundidad de la violación de SolarWinds reveló la cuarta pieza de software malicioso conectado a este incidente histórico. Según los expertos en seguridad informática, la nueva amenaza, apodada Raindrop, es un descargador de Cobalt Strike. Se aplicó en la fase posterior al compromiso del ataque para mejorar el movimiento lateral a través de un número seleccionado de redes objetivo.
Raindrop eleva la cuenta de malware personalizado de SolarWinds a cuatro, con Sunburst, Sunspot y Teardrop ya en el centro de atención. La investigación revela que Raindrop tiene mucho en común con Teardrop, siendo, de hecho, su pariente malicioso. Sin embargo, los métodos de entrega y la composición de la carga útil difieren, distinguiendo a Raindrop como una instancia separada.
Ataque Raindrop
Para explicar la función de Raindrop en el incidente histórico de SolarWinds, debemos revisar la línea de tiempo del ataque. La intrusión comenzó en la primavera de 2019 después de que los adversarios — presumiblemente, afiliados a Rusia — infectaron la red interna de SolarWinds con el malware Sunspot. En particular, Sunspot se aplicó para interferir en el proceso de desarrollo de SolarWinds Orion e insertar el código Sunburst en las últimas versiones del software. Estas versiones maliciosas de Orion se distribuyeron con actualizaciones regulares del proveedor en marzo-junio de 2020. Como resultado, más de 18,000 clientes se infectaron con el backdoor Sunburst, lo que permitió a los hackers penetrar las redes de proveedores tan conocidos como FireEye, Microsoft y las instituciones gubernamentales de EE.UU. Notablemente, los hackers escalaron su acceso a la red solo en instancias separadas, utilizando Teardrop y Raindrop para este propósito.
Mientras que Teardrop fue impulsado directamente por el backdoor Sunburst, el método de infección para Raindrop sigue siendo desconocido. Aún así, Raindrop apareció solo en aquellas redes donde al menos un dispositivo estaba comprometido con Sunburst. Los analistas de seguridad sugieren que la infección de Raindrop podría ser resultado de la actividad de Sunburst para ejecutar cargas útiles de PowerShell no definidas. Sin embargo, dicha conexión sigue sin confirmarse.
Tras la instalación, los operadores de Raindrop aplicaron una versión personalizada del código fuente de 7-Zip para compilar el malware como un archivo DLL. Sin embargo, 7-Zip se implementó solo como una cubierta, mientras que la carga útil de Raindrop se instaló a través de un empacador personalizado. Este empacador está diseñado para retrasar la ejecución con fines de evasión y aplicar esteganografía para la extracción de la carga útil.
Análisis de Raindrop: El gemelo de Teardrop
De manera similar a Teardrop, los hackers de SolarWinds usaron Raindrop para mejorar sus capacidades de movimiento lateral durante la fase posterior al compromiso. Sin embargo, en el caso de Raindrop, los actores de amenazas fueron más selectivos. Los investigadores identificaron solo cuatro proveedores que fueron objetivo de esta cepa. En todos los casos, Raindrop impulsó la carga útil de Cobalt Strike. En tres instancias, el Beacon de Cobalt Strike confiaba en HTTPS para comunicarse con su servidor de comando y control (C2). Sin embargo, en la última situación, se dispuso la comunicación a través de SMB Named Pipe, probablemente porque la conexión a Internet estaba ausente en el PC comprometido.
Notablemente, aunque Teardrop y Raindrop son casi idénticos, tienen ligeras diferencias en la configuración. En particular, las distinciones incluyen el formato de carga útil, la incrustación, los mecanismos de cifrado, compresión, así como la ofuscación y los nombres de exportación.
Detección de Raindrop
Dado que el malware permaneció sin ser detectado durante mucho tiempo y aplicó técnicas de evasión efectivas, los investigadores aconsejan a todas las organizaciones posiblemente afectadas por el hackeo de SolarWinds realizar escaneos adicionales en busca de una infección de Raindrop. El equipo de SOC Prime desarrolló una regla Sigma dedicada para mejorar la detección proactiva de Raindrop:
Patrones de Malware Raindrop [relacionados con el ataque de SolarWinds] (a través de Sysmon)
El 22 de enero de 2021, nuestro desarrollador de Threat Bounty Emir Erdogan publicó una segunda regla para contribuir a la detección de Raindrop. ¡Revisa el nuevo contenido para mantenerte seguro!
Malware Raindrop (a través de rundll32)
Las reglas tienen traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black
MITRE ATT&CK:
Tácticas: Movimiento Lateral
Técnicas: Servicios Remotos (T1021)
Consulta más reglas relacionadas con el compromiso de SolarWinds en nuestros artículos de blog dedicados a la violación de FireEye, visión general de SUNBURST y análisis de SUPERNOVA. análisis.
Obtén una suscripción al Mercado de Detección de Amenazas para reducir el tiempo promedio de detección de ciberataques con nuestra biblioteca de contenido SOC de más de 90,000 elementos. La base de contenido se enriquece cada día para detectar las amenazas cibernéticas más alarmantes en las primeras etapas del ciclo de vida del ataque. ¿Tienes el deseo de crear tu propio contenido curado? Únete a nuestra comunidad Threat Bounty ¡para un futuro más seguro!
