Dark Halo APT dietro l’attacco SolarWinds, violazione di Malwarebytes

[post-views]
Gennaio 26, 2021 · 7 min di lettura
Dark Halo APT dietro l’attacco SolarWinds, violazione di Malwarebytes

Un nuovo sofisticato gruppo APT, soprannominato Dark Halo (UNC2452, SolarStrom), è recentemente emerso nell’arena della sicurezza informatica, raccogliendo i migliori titoli della stampa negli ultimi mesi. I ricercatori ritengono che questo attore avanzato possa essere dietro lo storico attacco SolarWinds così come l’attacco contro il fornitore di sicurezza Malwarebytes.

Chi è Dark Halo?

Gli esperti di sicurezza di Volexity stimano che Dark Halo abbia iniziato le sue operazioni malevoli alla fine del 2019. Il gruppo ha lanciato diversi attacchi contro un think tank statunitense non identificato per rubare le e-mail dei suoi alti dirigenti. Presumibilmente, Dark Halo cercava dati preziosi per migliorare ulteriormente le operazioni di ricognizione contro i principali fornitori e organizzazioni governative statunitensi. Notoriamente, gli attori della minaccia hanno applicato un ricco set di strumenti malevoli, inclusi strumenti Red Team e sofisticati campioni di malware. Tuttavia, tali strumenti sono stati usati occasionalmente e solo nel caso in cui altre opportunità rimanessero bloccate. La selettività nei metodi è spiegata dall’intento dell’APT di rimanere sotto il radar durante le loro attività di furto di dati.

Volexity descrive tre attacchi sequenziali contro il think tank statunitense che si sono verificati durante il Q3 2019 – Q2 2020. Inizialmente, i membri di Dark Halo hanno utilizzato impianti sofisticati e Trojan backdoor per penetrare nell’organizzazione e rimanere inosservati. Dopo essere stati scoperti e bloccati, gli avversari hanno sfruttato un difetto di esecuzione remota nel Pannello di Controllo di Microsoft Exchange (CVE-2020-0688) per ripristinare il loro accesso alle risorse organizzative. Infine, Dark Halo ha compromesso il fornitore per la terza volta tramite aggiornamenti SolarWinds Orion modificati in modo malevolo.

La ricerca di Volexity risuona strettamente con le conclusionidi FireEye, permettendo ai ricercatori di stimare che Dark Halo sia lo stesso gruppo UNC2452 responsabile dell’attacco SolarWinds. Sebbene l’origine degli hacker sia ancora poco chiara, l’intelligence statunitense sospetta che Dark Halo lavori per conto del governo russo.

Routine di attacco di Dark Halo

I ricercatori di sicurezza dettagliano alcuni approcci malevoli che Dark Halo ha applicato per raggiungere i suoi obiettivi. In particolare, gli avversari hanno usato un metodo interessante per estrarre i dati delle e-mail da Outlook Web App (OWA) nel corso delle loro campagne. Sebbene le caselle di posta mirate fossero protette con l’autenticazione a più fattori di Duo, i cyber-criminali sono riusciti a compromettere gli account e-mail semplicemente inserendo i dati di accesso rubati. Il secondo fattore non è stato attivato in questo caso e il server di autenticazione Duo non ha registrato alcun tentativo di autenticazione. L’indagine ha rivelato che Dark Halo ha catturato con successo la chiave segreta di integrazione Duo (akey) dal server OWA. Inoltre, hanno usato questa chiave per padroneggiare il cookie duo-sid e presentarlo al server come un’istanza valida.

Per quanto riguarda le attività di ricognizione, Dark Halo si è evidentemente affidato ai server Exchange. In particolare, gli esperti di sicurezza hanno identificato che gli hacker hanno utilizzato Exchange per recuperare un elenco di utenti sul server, verificare il loro ruolo attuale e ottenere dati preziosi sulla Directory Virtuale configurata. Inoltre, gli hacker hanno utilizzato lo strumento da riga di comando AdFind per ottenere dati da Active Directory.

Gli esperti di sicurezza notano che gli hacker hanno prestato molta attenzione a mascherare le loro azioni malevole. È stato segnalato che gli avversari hanno eliminato tutti i log affiliati dalle applicazioni mirate e pulito qualsiasi traccia dei loro comandi. Tale comportamento dimostra di nuovo l’intento degli hacker di fare ricognizione, non distruzione, e il loro desiderio di volare sotto il radar mentre cercano pezzi preziosi d’informazione.

Hack di SolarWinds

I ricercatori affermano con sicurezza che il gruppo APT Dark Halo sia responsabile per l’attacco epocale di SolarWinds. Il gruppo ha compromesso dozzine di istituzioni pubbliche e private in tutto il mondo tramite aggiornamenti Trojanizzati di SolarWinds Orion. Come nelle campagne precedentemente descritte, gli attaccanti hanno usato diversi strumenti per camuffare le loro attività. Ad esempio, i ricercatori hanno identificato due ceppi malevoli, soprannominati Teardrop e epoch-making attack. The group compromised dozens of public and private institutions around the globe via Trojanized SolarWinds Orion updates. As in previously described campaigns, attackers used multiple tools to camouflage their activities. For instance, researchers identified two malicious strains, dubbed Teardrop and Raindrop, che hanno consegnato il Cobalt Strike Beacon agli ambienti compromessi e migliorato la capacità degli attaccanti di spostarsi lateralmente attraverso la rete. L’indagine è ancora in corso, con nuovi dettagli costantemente rivelati. Tuttavia, tutti gli esperti concordano che Dark Halo sia un gruppo di minaccia avanzata, probabilmente sponsorizzato da uno stato. Gli hacker possono sostenere una routine di attacco complessa per rubare dati sensibili dalle organizzazioni di loro interesse.

Violazione di Malwarebytes

Il 19 gennaio 2021, un’altra azienda di sicurezza, Malwarebytes, ha annunciato di essere stata vittima dell’attacco Dark Halo. Secondo la dichiarazione ufficiale del CEO di Malwarebytes, gli hacker sono riusciti a penetrare in diversi account e-mail dei dipendenti dell’azienda. Si riporta che gli avversari si siano affidati a una falla di sicurezza in Azure Active Directory e a un’app di sicurezza dormiente di Office 365 per ottenere i dati delle e-mail. Malwarebytes afferma che questa violazione non è collegata all’hack di SolarWinds poiché l’azienda non si affida ad alcun software di SolarWinds nella sua routine quotidiana. Inoltre, l’azienda afferma che gli hacker non hanno avuto accesso a nessuno dei suoi ambienti, quindi tutti i prodotti rimangono sicuri da usare.

La compromissione di Malwarebytes porta il conteggio dei fornitori di sicurezza compromessi da Dark Halo a quattro, con FireEye, Microsoft e CrowdStrike già presenti in questo elenco.

Rilevamento di Dark Halo

Per rilevare la possibile attività di Dark Halo, il team SOC Prime di ingegneri di threat hunting ha rilasciato una regola Sigma dedicata:

https://tdm.socprime.com/tdm/info/FYiZuTI6GcQ2/fyKSZHYBR-lx4sDxgRZ7/

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness

EDR: Carbon Black, Microsoft Defender ATP

MITRE ATT&CK:

Tattiche: Scoperta

Tecniche: Scoperta degli Account (T1087)

Inoltre, potresti scaricare un Rule Pack dal nostro team che contiene regole di correlazione in tempo reale per QRadar per rilevare la presenza di Dark Halo (UNC2452) all’interno della tua rete:

https://tdm.socprime.com/tdm/info/nDm8Ct8egXfC/gScmbHYBR-lx4sDxOBVC/

Puoi trovare ulteriori regole relative all’attività malevola di Dark Halo nei nostri post sul blog dedicati alla violazione di FireEye, l’analisi della backdoor SUNBURST, e la panoramica del malware. Puoi controllare ulteriori dettagli sull’incidente SolarWinds nei nostri post dedicati all’attacco backdoor analysis, and Raindrop e alla backdoor e alla backdoor attack and SUPERNOVA. Cerchi i migliori contenuti SOC per migliorare le tue capacità di rilevamento delle minacce? Iscriviti al

 

Threat Detection Marketplace, una piattaforma leader del settore Content-as-a-Service (CaaS) per il rilevamento delle minacce che aiuta i team SecOps a migliorare le loro analisi di sicurezza. Vuoi produrre le tue regole Sigma e creare contenuti di rilevamento dedicati? Unisciti al nostro programma Threat Bountyper condividere le tue intuizioni con la comunità SOC Prime! Threat Bounty program to share your insights with the SOC Prime community!

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.