新しいRaindropマルウェアがSolarWindsの侵害に関連

SolarWindsの侵害の詳細な調査により、この歴史的な事件に関連する4つ目の悪意のあるソフトウェアが明らかになりました。情報セキュリティの専門家によれば、新しい脅威は「Raindrop」と呼ばれるCobalt Strikeのダウンローダーです。これは攻撃後の段階で使用され、特定のターゲットネットワーク間での横方向の移動を強化する目的で適用されました。

Raindropは、すでに注目されているSunburst、Sunspot、Teardropと共に、SolarWinds専用マルウェアの数を4つに増やしました。 研究 によると、RaindropはTeardropと多くの共通点があり、実際にはその悪意のある兄弟です。しかし、配信方法とペイロード構成が異なり、Raindropは別のインスタンスとして区別されます。

Raindrop攻撃

SolarWindsの画期的な事件におけるRaindropの役割を説明するためには、攻撃のタイムラインを見直す必要があります。不審者たちは2019年春に — おそらくロシア関連 — でSunspotマルウェアを使い、SolarWinds内部ネットワークに感染させました。特にSunspotはSolarWinds Orionの開発プロセスに介入し、最新のソフトウェアバージョンにSunburstコードを挿入しました。これらの悪意のあるOrionリリースは、2020年3月から6月にかけて通常のベンダーアップデートとして配信されました。その結果、18,000を超える顧客がSunburstバックドアに感染し、FireEyeなどの大規模なベンダーのネットワークに侵入されました。 FireEye、Microsoft、米国政府機関などの名前の大きなベンダーのネットワークに侵入されました。特に注目すべきは、ハッカーたちはネットワークアクセスを個別のケースに限定し、TeardropとRaindropをこの目的で利用しました。

Teardropは Sunburstバックドアによって直接配信されましたが、Raindropの感染方法は不明のままです。それにもかかわらず、RaindropはSunburstに少なくとも1台のデバイスが侵害されたネットワークにのみ現れました。セキュリティアナリストたちは、Raindropの感染がSunburst活動の結果として未定義のPowerShellペイロードを実行した可能性があると考えています。しかし、そのようなつながりは未確認のままです。

インストール後、Raindropの運用者はカスタマイズされた7-Zipのソースコードを用いてマルウェアをDLLファイルとしてコンパイルしました。しかし、7-Zipはカバーとしてのみ実装され、Raindropのペイロードはカスタムパッカーを介してインストールされました。このパッカーは回避のために実行を遅延させ、ペイロード抽出にステガノグラフィを適用するよう設計されています。

Raindrop分析：Teardropの双子

Teardropと同様に、SolarWindsのハッカーたちはRaindropを使用して、攻撃後の段階における横方向の移動能力を強化しました。しかし、Raindropの場合、脅威アクターたちはより選択的でした。研究者たちは、このストレインによってターゲットとなったのは4つのベンダーのみであることを確認しました。すべてのケースで、RaindropはCobalt Strikeのペイロードを配信しました。3つのケースでは、Cobalt Strike BeaconはHTTPSを頼って指令・制御（C2）サーバーと通信します。しかし、最後のケースでは、インターネット接続がないため、SMB Named Pipeを介して通信するように設定されました。

TeardropとRaindropがほとんど同じである一方で、構成に若干の違いがあります。特に、ペイロード形式、埋め込み、暗号化、圧縮メカニズム、さらには難読化とエクスポート名に違いがあります。

Raindrop検出

マルウェアが長期間レーダーにかからず、効果的な回避技術を適用したため、SolarWindsのハッキングの影響を受ける可能性があるすべての組織に対し、Raindrop感染のための追加スキャンを実施することを研究者たちは勧めています。SOC Primeのチームは、プロアクティブなRaindrop検出を強化するための専用Sigmaルールを開発しました：

Raindropマルウェアパターン [SolarWinds攻撃関連] (via sysmon)

2021年1月22日、私たちのThreat Bounty開発者、 Emir Erdogan は、Raindrop検出のための第2のルールをリリースしました。新しいコンテンツをチェックして安全を保ちましょう！

Raindropマルウェア (via rundll32)

ルールは、次のプラットフォームに翻訳されました：

SIEM： Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、LogPoint、Humio、RSA NetWitness

EDR： Carbon Black

MITRE ATT&CK：

戦術： 横方向移動

技術： リモートサービス (T1021)

私たちのブログ記事で、SolarWindsの妥協に関連するより多くのルールを確認してください。 FireEyeの侵害,  SUNBURST 概要、および SUPERNOVA 分析。

サブスクリプションを入手する ことで、SOCのコンテンツライブラリ全体からサイバー攻撃の検出までの時間を短縮することができます。コンテンツの基盤は毎日更新され、攻撃ライフサイクルの最初の段階で最も懸念されるサイバー脅威を検出できるようになります。あなた自身のキュレーションされたコンテンツを作成したいですか？ 私たちのThreat Bountyコミュニティに参加して、より安全な未来を目指しましょう！ より安全な未来のための