Nuovo Malware Raindrop Collegato alla Violazione di SolarWinds
Indice:
L’ispezione approfondita dell’attacco a SolarWinds ha rivelato il quarto pezzo di software malevolo collegato a questo incidente storico. Secondo gli esperti di sicurezza informatica, la nuova minaccia, denominata Raindrop, è un downloader di Cobalt Strike. È stato utilizzato nella fase post-compromissione dell’attacco per potenziare il movimento laterale attraverso un numero selezionato di reti bersaglio.
Raindrop porta il conteggio dei malware personalizzati di SolarWinds a quattro, con Sunburst, Sunspot e Teardrop già sotto i riflettori. La ricerca rivela che Raindrop ha molto in comune con Teardrop, essendo, infatti, suo fratello malevolo. Tuttavia, i metodi di consegna e la composizione del payload differiscono, distinguendo Raindrop come un’istanza separata.
Attacco Raindrop
Per spiegare la funzione di Raindrop nell’incidente epocale di SolarWinds, dovremmo rivedere l’ordine cronologico dell’attacco. L’intrusione è iniziata nella primavera del 2019 dopo che gli avversari — probabilmente affiliati alla Russia — hanno infettato la rete interna di SolarWinds con il malware Sunspot. In particolare, Sunspot è stato applicato per interferire con il processo di sviluppo di SolarWinds Orion e inserire il codice Sunburst nelle ultime versioni del software. Queste versioni malevole di Orion sono state distribuite con i normali aggiornamenti del fornitore tra marzo e giugno 2020. Di conseguenza, oltre 18.000 clienti sono stati infettati con il trojan Sunburst, consentendo agli hacker di penetrare nelle reti di grossi nomi come FireEye, Microsoft e le istituzioni governative degli Stati Uniti. Notoriamente, gli hacker hanno escalato l’accesso alla rete solo in casi separati, utilizzando Teardrop e Raindrop a tale scopo.
Mentre Teardrop è stato spinto direttamente dal trojan Sunburst, il metodo di infezione per Raindrop rimane sconosciuto. Tuttavia, Raindrop è apparso solo su quelle reti in cui almeno un dispositivo era compromesso con Sunburst. Gli analisti di sicurezza suggeriscono che l’infezione da Raindrop potrebbe essere il risultato dell’attività di Sunburst per eseguire payload PowerShell indefiniti. Tuttavia, tale connessione rimane non confermata.
Dopo l’installazione, gli operatori di Raindrop hanno applicato una versione personalizzata del codice sorgente di 7-Zip per compilare il malware come file DLL. Tuttavia, 7-Zip è stato implementato solo come copertura, mentre il payload di Raindrop è stato installato tramite un packer personalizzato. Questo packer è progettato per ritardare l’esecuzione per scopi di evasione e applicare steganografia per l’estrazione del payload.
Analisi di Raindrop: il Gemello di Teardrop
Analogamente a Teardrop, gli hacker di SolarWinds hanno usato Raindrop per migliorare le loro capacità di movimento laterale durante la fase post-compromissione. Tuttavia, nel caso di Raindrop, gli attori delle minacce erano più selettivi. I ricercatori hanno identificato solo quattro fornitori come obiettivi di questo ceppo. In tutti i casi, Raindrop ha spinto il payload Cobalt Strike. In tre casi, Cobalt Strike Beacon si affidava all’HTTPS per comunicare con il suo server di comando e controllo (C2). Tuttavia, nell’ultimo caso, era organizzato per comunicare tramite SMB Named Pipe, probabilmente perché la connessione a Internet era assente sul PC compromesso.
Notoriamente, mentre Teardrop e Raindrop sono quasi identici, presentano lievi differenze nella configurazione. In particolare, le differenze includono il formato del payload, l’incorporamento, i meccanismi di crittografia e compressione, nonché i nomi di offuscamento ed esportazione.
Rilevamento di Raindrop
Poiché il malware è rimasto sotto il radar per un lungo periodo e ha applicato tecniche di evasione efficaci, i ricercatori consigliano a tutte le organizzazioni che potrebbero essere state colpite dall’hack di SolarWinds di eseguire ulteriori scansioni per l’infezione da Raindrop. Il team di SOC Prime ha sviluppato una regola Sigma dedicata per migliorare il rilevamento proattivo di Raindrop:
Raindrop Malware Patterns [collegato all’attacco SolarWinds] (via sysmon)
Il 22 gennaio 2021, il nostro sviluppatore di Threat Bounty Emir Erdogan ha rilasciato una seconda regola per contribuire al rilevamento di Raindrop. Controlla il nuovo contenuto per rimanere al sicuro!
Malware Raindrop (via rundll32)
Le regole hanno traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black
MITRE ATT&CK:
Tattiche: Movimento Laterale
Tecniche: Servizi Remoti (T1021)
Controlla più regole relative alla compromissione di SolarWinds nei nostri articoli del blog dedicati alla violazione di FireEye, PANORAMICA di SUNBURST e analisi di SUPERNOVA. analisi.
Ottieni un abbonamento al Threat Detection Marketplace per ridurre il tempo medio di rilevamento degli attacchi informatici con la nostra libreria di contenuti SOC facilitati da più di 90.000 risorse. La base di contenuti si arricchisce ogni giorno per rilevare le minacce informatiche più allarmanti nelle prime fasi del ciclo di vita dell’attacco. Vuoi creare il tuo contenuto curato? Unisciti alla nostra comunità di Threat Bounty per un futuro più sicuro!
