Výskumníci objavili Raindrop — 4. malvér spojený s útokom SolarWinds

Výskumníci v oblasti kybernetickej bezpečnosti odhalili štvrtý nový kmeň malvéru – navrhnutý na šírenie malvéru do iných počítačov v sieťach obetí – ktorý bol nasadený ako súčasť útoku na dodávateľský reťazec SolarWinds zverejneného koncom minulého roka.

Tento malvér, nazývaný „Raindrop“ od spoločnosti Symantec vo vlastníctve spoločnosti Broadcom, sa pripája k podobným iným škodlivým implantátom, ako sú Sunspot, Sunburst (alebo Solorigate) a Teardrop, ktoré boli nenápadne doručené do podnikových sietí.

Najnovšie zistenie prichádza uprostred pokračujúceho vyšetrovania porušenia, ktoré je podozrivé z ruského pôvodu a ktoré si vyžiadalo množstvo amerických vládnych agentúr a spoločností zo súkromného sektora.

„Objavenie Raindropu je významným krokom v našom vyšetrovaní útokov SolarWinds, pretože poskytuje ďalší pohľad na aktivity po kompromitácii v organizáciách, ktoré sú pre útočníkov zaujímavé,“ uviedli výskumníci Symantecu.

Firma zaoberajúca sa kybernetickou bezpečnosťou uviedla, že doteraz objavila iba štyri vzorky Raindrop, ktoré boli použité na doručenie Cobalt Strike Beacon – zadného vrátka v pamäti schopného vykonávať príkazy, keylogging, prenos súborov, eskaláciu privilégií, skenovanie portov a bočný pohyb.

Symantec minulý mesiac odhalil viac ako 2000 systémov patriacich 100 zákazníkom, ktorí dostali trojanizované aktualizácie SolarWinds Orion, s vybranými cieľmi infikovanými nákladom druhej fázy nazývaným Teardrop, ktorý sa tiež používa na inštaláciu Cobalt Strike Beacon.

“Spôsob, akým je Teardrop postavený, mohol zhodiť čokoľvek; v tomto prípade zhodil Beacon, užitočné zaťaženie zahrnuté v Cobalt Strike,” povedali výskumníci z Check Point a poznamenali, že to bolo možno urobené, aby “sťažili pripisovanie.”

“Zatiaľ čo Teardrop sa používal na počítačoch, ktoré boli infikované pôvodným trójskym koňom Sunburst, Raindrop sa objavil inde v sieti a útočníci ho používali na bočný pohyb a nasadenie užitočného zaťaženia na iné počítače.”

Stojí za zmienku, že útočníci použili malvér Sunspot výlučne proti SolarWinds v septembri 2019, aby ohrozili jeho zostavovacie prostredie a vložili trójsky kôň Sunburst do svojej platformy na monitorovanie siete Orion. Pokazený softvér bol potom doručený 18 000 zákazníkom spoločnosti.

Analýza spoločnosti Microsoft týkajúca sa modus operandi Solorigate minulý mesiac zistila, že operátori si svoje ciele starostlivo vybrali a rozhodli sa eskalovať útoky iba v niekoľkých prípadoch nasadením Teardrop na základe informácií získaných počas počiatočného prieskumu cieľového prostredia pre účty s vysokou hodnotou a aktíva.

Teraz sa k mixu pripája Raindrop („bproxy.dll“). Aj keď Teardrop a Raindrop fungujú ako kvapkadlo pre Cobalt Strike Beacon, líšia sa aj mnohými spôsobmi.

Na začiatok je Teardrop dodávaný priamo počiatočným zadným vrátkom Sunburst, zatiaľ čo Raindrop sa zdá byť nasadený s cieľom rozšíriť sa cez sieť obetí. Navyše, malvér sa objavuje v sieťach, kde už bol aspoň jeden počítač napadnutý Sunburst, bez náznaku, že Sunburst spustil jeho inštaláciu.

Tieto dva kmene malvéru tiež používajú rôzne packery a konfigurácie Cobalt Strike.

Symantec neidentifikoval organizácie, ktorých sa Raindrop dotkol, ale uviedol, že vzorky boli nájdené v systéme obete, na ktorom bol spustený softvér na prístup a správu počítača, a na počítači, o ktorom sa zistilo, že spúšťa príkazy PowerShell na infikovanie ďalších počítačov v organizácii rovnakým malvérom.