Raindrop Malware

Infosec-forskere meddelte, at de har formået at afdække en ny malware-stamme, der er indsat som en del af det massive SolarWind-forsyningskædeangreb. Navngivet Raindrop blev malware-truslen brugt i slutfasen af infektionen mod bare en håndfuld ofre, der var specielt udvalgt af hackerne. De tidligere malware-stammer, der er dokumenteret af sikkerhedsfirmaerne, der undersøger hændelsen, er Sunspot, Sunburst (Solorigate) og Teardrop.

Hver malware udførte en særskilt rolle og blev vist på et bestemt tidspunkt under den truende operation. Angrebet mod SolarWinds menes at have været gennemført i midten af 2019, da trusselsaktøren infiltrerede virksomhedens netværk og inficerede det med Sunspot-malware. Dens opgave var at vente på det rigtige øjeblik, før vi startede og ændrede SolarWinds 'Orion-app's byggeproces ved at injicere Sunburst (Solorigate) malware i næste trin. Når den manipulerede version af applikationen blev uploadet til officielle servere og gjort tilgængelig til download, ville SolarWinds 'klienter uforvarende downloade den og tillade malware at infiltrere deres egne netværk.

Med over 18.000 SolarWinds-klienter måtte hackerne bestemme, hvilke mål der var værdige til yderligere optrapning af angrebet. For at indsnævre deres valg stod de på intel høstet og derefter exfiltreret af Sunburst (Solorigate) malware. Trusselsaktøren fortsatte kun sin drift på en lille delmængde af mål, hovedsageligt amerikanske regeringsorganer, Microsoft og et sikkerhedsfirma FireEye. På disse ofre blev Sunburst instrueret i at hente og distribuere næste trin malware Teardrop, som igen udførte funktionerne til en læsser, der leverede den endelige nyttelast - en Cobalt Strike Beacon-variant.

Regndråbe - lignende funktioner, forskellige koder

Det ser ud til, at Teardrop ikke blev anvendt allestedsnærværende som for fire forskellige mål, cyberkriminelle brugte den nyopdagede Raindrop-stamme. Funktionelt har de to malware-trusler næsten identiske muligheder. De var begge ansvarlige for at levere Cobalt Strike Beacon-nyttelasten, som derefter tillod hackerne at udvide deres rækkevidde inden for det kompromitterede netværk.

At se på den underliggende kode afslører dog betydelige forskelle. Regndråbe er kun observeret i et shellcode-format; det bruger steganografi, der injiceres på bestemte placeringer inde i maskinkoden. Kryptering, tilsløring og kompressionsteknikker er også helt forskellige mellem de to stammer. Regndråbe udnytter en kombination af et AES-lag før dekompression og et XOR-lag efter dekompressioner. Til tilintetgørelse inkluderer truslen klumper af ikke-funktionel kode, der fungerer som en buffer, der forsinker dens udførelse. Nyttelastkomprimering blev opnået gennem LZMA, en algoritme, der anvendes til tabsfri datakomprimering.

Det skal bemærkes, at det for øjeblikket forbliver et mysterium, nøjagtigt hvordan Raindrop blev leveret til de kompromitterede netværk, indtil nu ser det ud til, at det pludselig dukkede op der. I modsætning hertil blev Teardrop downloadet direkte til de valgte enheder af Sunspot.