Novo Malware Raindrop Conectado à Violação SolarWinds
Índice:
A inspeção aprofundada da violação da SolarWinds revelou a quarta peça de software malicioso conectada a este incidente histórico. De acordo com os especialistas em segurança da informação, a nova ameaça, apelidada de Raindrop, é um downloader do Cobalt Strike. Ele foi aplicado na fase pós-comprometimento do ataque para melhorar o movimento lateral em um número seleto de redes-alvo.
O Raindrop aumenta a contagem de malware personalizado da SolarWinds para quatro, com Sunburst, Sunspot e Teardrop já em destaque. A pesquisa revela que Raindrop tem muito em comum com o Teardrop, sendo, de fato, seu irmão malicioso. No entanto, os métodos de entrega e a composição da carga útil diferem, distinguindo Raindrop como uma instância separada.
Ataque Raindrop
Para explicar a função do Raindrop no incidente marcante da SolarWinds, devemos revisar o cronograma do ataque. A intrusão começou na primavera de 2019 após adversários — presumidamente, afiliados à Rússia — infectarem a rede interna da SolarWinds com o malware Sunspot. Em particular, Sunspot foi aplicado para interferir no processo de desenvolvimento do SolarWinds Orion e inserir o código Sunburst nas versões mais recentes do software. Estas versões maliciosas do Orion foram lançadas com as atualizações regulares do fornecedor em março-junho de 2020. Como resultado, mais de 18.000 clientes foram infectados com o backdoor Sunburst, permitindo que hackers penetrassem nas redes de grandes fornecedores como FireEye, Microsoft e instituições governamentais dos EUA. Notavelmente, os hackers escalaram seu acesso à rede apenas em instâncias separadas, utilizando Teardrop e Raindrop para esse propósito.
Enquanto o Teardrop foi empurrado diretamente pelo backdoor Sunburst, o método de infecção para Raindrop permanece desconhecido. Ainda assim, Raindrop apareceu apenas em redes onde pelo menos um dispositivo foi comprometido com Sunburst. Analistas de segurança sugerem que a infecção por Raindrop pode ser resultado da atividade do Sunburst para executar cargas úteis não definidas do PowerShell. No entanto, tal conexão permanece não confirmada.
Após a instalação, os operadores do Raindrop aplicaram uma versão personalizada do código-fonte do 7-Zip para compilar o malware como um arquivo DLL. No entanto, o 7-Zip foi implementado apenas como uma cobertura, enquanto a carga útil do Raindrop foi instalada via um empacotador personalizado. Este empacotador é projetado para atrasar a execução para fins de evasão e aplicar esteganografia para extração da carga útil.
Análise Raindrop: Gêmeo do Teardrop
Semelhante ao Teardrop, os hackers da SolarWinds usaram o Raindrop para melhorar suas capacidades de movimento lateral durante a fase pós-comprometimento. No entanto, no caso do Raindrop, os atores da ameaça foram mais seletivos. Pesquisadores identificaram apenas quatro fornecedores sendo alvo com essa cepa. Em todos os casos, o Raindrop empurrou a carga útil do Cobalt Strike. Em três instâncias, o Cobalt Strike Beacon confiou no HTTPS para se comunicar com seu servidor de comando e controle (C2). No entanto, na última situação, foi arranjado para se comunicar através de SMB Named Pipe, provavelmente porque a conexão com a internet estava ausente no PC comprometido.
Notavelmente, apesar de Teardrop e Raindrop serem quase idênticos, eles têm diferenças sutis na configuração. Em particular, as distinções incluem formato da carga útil, incorporação, mecanismos de criptografia, compressão, além de ofuscação e nomes de exportação.
Detecção Raindrop
Como o malware permaneceu sob o radar por um longo tempo e aplicou técnicas eficazes de evasão, pesquisadores aconselham todas as organizações possivelmente afetadas no hack da SolarWinds a realizarem verificações adicionais para infecção por Raindrop. A equipe da SOC Prime desenvolveu uma regra Sigma dedicada para melhorar a detecção proativa de Raindrop:
Padrões de Malware Raindrop [relacionados ao ataque SolarWinds] (via sysmon)
Em 22 de janeiro de 2021, nosso desenvolvedor Threat Bounty Emir Erdogan lançou uma segunda regra para contribuir com a detecção de Raindrop. Verifique o novo conteúdo para manter-se seguro!
Malware Raindrop (via rundll32)
As regras têm traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black
MITRE ATT&CK:
Táticas: Movimento Lateral
Técnicas: Serviços Remotos (T1021)
Verifique mais regras relacionadas ao comprometimento da SolarWinds em nossos artigos de blog dedicados à violação da FireEye, resumo do SUNBURST e análise do SUPERNOVA .
Obtenha uma assinatura do Threat Detection Marketplace para reduzir o tempo médio de detecção de ciberataques com nossa biblioteca de conteúdo SOC com mais de 90.000 itens. A base de conteúdo é enriquecida todos os dias para detectar as ameaças cibernéticas mais alarmantes nas fases mais iniciais do ciclo de vida do ataque. Tem desejo de criar seu próprio conteúdo curado? Junte-se à nossa comunidade Threat Bounty para um futuro mais seguro!
