Nouveau Malware Raindrop Lié à la Violation SolarWinds
Table des matières :
L’examen approfondi de la violation SolarWinds a révélé le quatrième logiciel malveillant lié à cet incident historique. Selon les experts en cybersécurité, la nouvelle menace, baptisée Raindrop, est un téléchargeur Cobalt Strike. Il a été utilisé après la compromission pour renforcer le mouvement latéral à travers un nombre sélectionné de réseaux ciblés.
Raindrop porte le nombre de logiciels malveillants personnalisés de SolarWinds à quatre, avec Sunburst, Sunspot et Teardrop déjà sous les projecteurs. La recherche révèle que Raindrop a beaucoup en commun avec Teardrop, étant en fait son homologue malveillant. Néanmoins, les méthodes de livraison et la composition de la charge utile diffèrent, ce qui distingue Raindrop comme une instance distincte.
Attaque Raindrop
Pour expliquer la fonction de Raindrop dans l’incident marquant de SolarWinds, nous devrions revoir la chronologie de l’attaque. L’intrusion a commencé au printemps 2019 après que des adversaires — présumément affiliés à la Russie — ont infecté le réseau interne de SolarWinds avec Sunspot malware. En particulier, Sunspot a été utilisé pour interférer avec le processus de développement de SolarWinds Orion et insérer le code Sunburst dans les dernières versions du logiciel. Ces versions Orion malveillantes ont été distribuées avec les mises à jour régulières du fournisseur entre mars et juin 2020. En conséquence, plus de 18 000 clients ont été infectés par le cheval de Troie Sunburst, permettant aux hackers de pénétrer les réseaux de grands noms comme FireEye, Microsoft et des institutions gouvernementales américaines. Fait notable, les hackers ont escaladé leur accès réseau uniquement dans des cas isolés, en utilisant Teardrop et Raindrop à cet effet.
Alors que Teardrop était poussé directement par le cheval de Troie Sunburst, la méthode d’infection de Raindrop demeure inconnue. Pourtant, Raindrop est apparu uniquement sur les réseaux où au moins un appareil était compromis avec Sunburst. Les analystes en sécurité suggèrent que l’infection Raindrop pourrait être le résultat de l’activité Sunburst exécutant des charges utiles PowerShell indéfinies. Cependant, un tel lien reste non confirmé.
Après l’installation, les opérateurs de Raindrop ont appliqué une version personnalisée du code source de 7-Zip pour compiler le logiciel malveillant en un fichier DLL. Cependant, 7-Zip n’a été implémenté qu’en tant que couverture, tandis que la charge utile Raindrop a été installée via un packer personnalisé. Ce packer est conçu pour retarder l’exécution à des fins d’évasion et appliquer la stéganographie pour l’extraction de la charge utile.
Analyse de Raindrop : le jumeau de Teardrop
De façon similaire à Teardrop, les hackers SolarWinds ont utilisé Raindrop pour améliorer leurs capacités de mouvement latéral pendant la phase post-compromission. Cependant, dans le cas de Raindrop, les acteurs de la menace ont été plus sélectifs. Les chercheurs ont identifié seulement quatre fournisseurs ciblés par cette souche. Dans tous les cas, Raindrop a poussé la charge utile Cobalt Strike. Dans trois cas, Cobalt Strike Beacon s’est appuyé sur HTTPS pour communiquer avec son serveur de commandement et de contrôle (C2). Cependant, dans la dernière situation, il a été organisé pour communiquer via SMB Named Pipe, probablement en raison de l’absence de connexion internet sur le PC compromis.
Il est à noter que, même si Teardrop et Raindrop sont presque identiques, ils présentent de légères différences dans la configuration. En particulier, les différences comprennent le format de la charge utile, l’intégration, les mécanismes de cryptage, de compression, ainsi que l’obfuscation et les noms d’exportation.
Détection de Raindrop
Étant donné que le logiciel malveillant est resté inaperçu pendant longtemps et a appliqué des techniques d’évasion efficaces, les chercheurs conseillent à toutes les organisations potentiellement affectées par la piratage SolarWinds d’effectuer des analyses supplémentaires pour détecter une infection Raindrop. L’équipe SOC Prime a développé une règle Sigma dédiée pour améliorer la détection proactive de Raindrop :
Modèles de Malware Raindrop [liés à l’attaque SolarWinds] (via sysmon)
Le 22 janvier 2021, notre développeur Threat Bounty Emir Erdogan a publié une deuxième règle pour contribuer à la détection de Raindrop. Consultez le nouveau contenu pour rester en sécurité !
Malware Raindrop (via rundll32)
Les règles ont des traductions vers les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR : Carbon Black
MITRE ATT&CK :
Tactiques : Mouvement latéral
Techniques : Services à distance (T1021)
Consultez plus de règles liées à la compromission SolarWinds dans nos articles de blog dédiés à la violation FireEye, présentation SUNBURST, et analyse SUPERNOVA. analyse SUPER. analysis.
Obtenez un abonnement au Threat Detection Marketplace pour réduire le temps moyen de détection des cyberattaques avec notre bibliothèque de contenu SOC de plus de 90 000 éléments. La base de contenu s’enrichit chaque jour pour détecter les menaces cybernétiques les plus alarmantes aux premiers stades du cycle de vie de l’attaque. Vous souhaitez créer votre propre contenu personnalisé ? Rejoignez notre communauté Threat Bounty pour un avenir plus sûr! community for a safer future!
