Solo pochi giorni dopo la diffusione delle informazioni riguardanti il data breach di FireEye è apparsa, l’azienda ha pubblicato i risultati della sua indagine e i dettagli sul backdoor Sunburst (incluso il rapporto tecnico and contromisure), attraverso il quale il gruppo APT ha penetrato le reti di molte organizzazioni e ora le aziende potenzialmente compromesse possono rilevare rapidamente questa minaccia. La scala dell’attacco alla supply chain rilevato è davvero impressionante: il gruppo sponsorizzato dallo stato ha compromesso SolarWinds Inc. e ha troianizzato gli aggiornamenti del software Orion IT usato dall’esercito e dalle agenzie governative degli Stati Uniti, oltre che da oltre 425 delle 500 più grandi aziende negli Stati Uniti. Gli avversari hanno firmato digitalmente gli aggiornamenti e li hanno pubblicati sul sito di aggiornamenti di SolarWinds durante questa primavera, il che ha lasciato un enorme numero di aziende nel mondo compromesse (i prodotti di SolarWinds sono usati da oltre 300k clienti in tutto il mondo).
CISA ha rilasciato Direttiva di Emergenza per mitigare il compromesso dei prodotti di gestione di rete SolarWinds Orion avvertendo della potenziale minaccia imposta dall’utilizzo dei prodotti SolarWinds Orion alle reti di numerose organizzazioni nei settori pubblico e privato.
Analisi del Backdoor Sunburst e Contenuti di Rilevamento
Il backdoor Sunburst si nasconde nel SolarWinds.Orion.Core.BusinessLayer.dll. Dopo essere entrato nel sistema, il backdoor attende fino a due settimane e solo allora inizia la sua attività dannosa. Il backdoor è in grado di trasferire ed eseguire file, profilare il sistema, disabilitare i servizi di sistema e riavviare la macchina. Il backdoor Sunburst utilizza il protocollo del Programma di Miglioramento di Orion e salva i dati raccolti nei file di configurazione dei plugin legittimi, rendendo estremamente difficile rilevare l’attività malware sulla rete di un’organizzazione.
Il nostro team SOC Prime e in collaborazione con i sviluppatori del Threat Bounty Program ha rilasciato regole Sigma basate sulle contromisure Sunburst pubblicate da FireEye su GitHub per rilevare il backdoor Sunburst e gli strumenti legati a questo attacco. L’articolo e la lista delle regole saranno aggiornati. Segui il nostro blog e consulta il Threat Detection Marketplace per le ultime regole di rilevazione per il backdoor Sunburst e le minacce correlate per rimanere aggiornato.
Ecco la lista delle regole attualmente disponibili:
|
|
|
Possibile attività di ricognizione di Dark Halo Exchange (tramite cmdline) |
|
|
Nome host del backdoor Solarwinds C2 rilevato. (tramite DNS) |
