Los investigadores de ciberseguridad han descubierto una cuarta cepa de malware nueva, diseñada para propagar el malware a otros ordenadores en las redes de las víctimas, que se desplegó como parte del ataque a la cadena de suministro de SolarWinds revelado a finales del año pasado.
Apodado «Raindrop» por Symantec propiedad de Broadcom, el malware se une a otros implantes maliciosos como Sunspot, Sunburst (o Solorigate) y Teardrop que fueron entregados sigilosamente a redes empresariales.
El último hallazgo se produce en medio de una continua investigación sobre la violación, sospechosa de ser de origen ruso, que ha reclamado varias agencias gubernamentales estadounidenses y empresas del sector privado.
«El descubrimiento de Raindrop es un paso significativo en nuestra investigación de los ataques de SolarWinds, ya que proporciona más información sobre la actividad posterior al compromiso en organizaciones de interés para los atacantes», dijeron los investigadores de Symantec.
La empresa de ciberseguridad dijo que descubrió sólo cuatro muestras de Raindrop hasta la fecha que se utilizaron para entregar el Cobalt Strike Beacon, una puerta trasera en memoria capaz de ejecutar comandos, keylogging, transferencia de archivos, escalamiento de privilegios, escaneo de puertos y movimiento lateral.
Symantec, el mes pasado, había descubierto más de 2.000 sistemas pertenecientes a 100 clientes que recibieron las actualizaciones troyanos de SolarWinds Orion, con objetivos selectos infectados con una carga útil de segunda etapa llamada Teardrop que también se utiliza para instalar el cobalto Strike Beacon.
«La forma en que se construye Teardrop, podría haber caído cualquier cosa; en este caso, dejó caer Beacon, una carga útil incluida con Cobalt Strike», dijeronlos investigadores de Check Point, señalando que posiblemente se hizo para «hacer la atribución más difícil».
«Mientras que Teardrop fue utilizado en computadoras que habían sido infectadas por el troyano Sunburst original, Raindrop apareció en otra parte de la red, siendo utilizado por los atacantes para moverse lateralmente y desplegar cargas útiles en otros equipos.»
Vale la pena señalar que los atacantes utilizaron el malware Sunspot exclusivamente contra SolarWinds en septiembre 2019 para comprometer su entorno de construcción e inyectar el troyano Sunburst en su plataforma de monitoreo de red Orion. El software contaminado fue entregado a 18.000 de los clientes de la compañía.
El análisis de Microsoft del modus operandi de Solorigate el mes pasado encontró que los operadores eligieron cuidadosamente sus objetivos, optando por escalar los ataques sólo en un puñado de casos mediante el despliegue de Teardrop basado en la información acumulada durante un reconocimiento inicial del entorno de destino para cuentas y activos de alto valor.
Ahora Raindrop («bproxy.dll») se une a la mezcla. Mientras que Teardrop y Raindrop actúan como raincounts para el Cobalt Strike Beacon, también difieren de varias maneras.
Para empezar, Teardrop es entregado directamente por la puerta trasera inicial de Sunburst, mientras que Raindrop parece haber sido desplegado con el objetivo de extenderse a través de la red de víctimas. Lo que es más, el malware aparece en las redes donde al menos un ordenador ya ha sido comprometido por Sunburst, sin ninguna indicación de que Sunburst activó su instalación.
Las dos cepas de malware también utilizan diferentes empacadores y configuraciones de Cobalt Strike.
Symantec no identificó las organizaciones afectadas por Raindrop, pero dijo que las muestras se encontraron en un sistema de víctimas que ejecutaba software de administración y acceso a computadoras y en un equipo que se encontró para ejecutar comandos de PowerShell para infectar equipos adicionales en la organización con el mismo malware.
Fuente: Colaboración con ExploitWareLabs y TheHackerNews
0 comentarios