Raindrop Malware

I ricercatori di Infosec hanno annunciato di essere riusciti a scoprire un nuovo ceppo di malware implementato come parte del massiccio attacco alla catena di approvvigionamento di SolarWind. Chiamata Raindrop, la minaccia malware è stata utilizzata durante la fase finale dell'infezione contro solo una manciata di vittime appositamente selezionate dagli hacker. I precedenti ceppi di malware documentati dalle società di sicurezza che indagano sull'incidente sono Sunspot, Sunburst (Solorigate) e Teardrop.

Ogni malware ha svolto un ruolo distinto ed è stato visualizzato in un momento specifico durante l'operazione minacciosa. Si ritiene che l'attacco contro SolarWinds sia stato effettuato a metà del 2019, quando l'attore della minaccia si è infiltrato nella rete dell'azienda e l'ha infettata con il malware Sunspot. Il suo compito era aspettare il momento giusto prima di avviare e modificare il processo di compilazione dell'app Orion di SolarWinds iniettando il malware della fase successiva Sunburst (Solorigate). Quando la versione manomessa dell'applicazione veniva caricata sui server ufficiali e resa disponibile per il download, i client di SolarWinds la scaricavano inconsapevolmente e permettevano al malware di infiltrarsi nelle proprie reti.

Con oltre 18.000 client SolarWinds, gli hacker dovevano determinare quali obiettivi fossero degni di un'ulteriore escalation dell'attacco. Per restringere le loro scelte, si sono affidati a informazioni raccolte e poi esfiltrate dal malware Sunburst (Solorigate). L'attore della minaccia ha continuato a operare solo su un piccolo sottoinsieme di obiettivi, principalmente agenzie governative statunitensi, Microsoft e FireEye, una società di sicurezza. Su quelle vittime, Sunburst è stato incaricato di recuperare e distribuire il malware della fase successiva Teardrop, che a sua volta ha eseguito le funzioni di un caricatore che ha consegnato il carico utile finale: una variante Cobalt Strike Beacon.

Goccia di pioggia - Funzioni simili, codice diverso

Sembra che Teardrop non sia stato dispiegato in modo ubiquitario poiché per quattro obiettivi distinti, i criminali informatici hanno utilizzato il ceppo Raindrop appena scoperto. Funzionalmente, le due minacce malware possiedono capacità quasi identiche. Entrambi erano responsabili della consegna del payload Cobalt Strike Beacon, che ha poi permesso agli hacker di espandere la loro portata all'interno della rete compromessa.

L'analisi del codice sottostante, tuttavia, rivela differenze significative. Raindrop è stato osservato solo in un formato shellcode; utilizza la steganografia che viene iniettata in posizioni specifiche all'interno del codice macchina. Anche le tecniche di crittografia, offuscamento e compressione sono completamente diverse tra i due ceppi. Raindrop sfrutta una combinazione di uno strato AES prima della decompressione e uno strato XOR dopo la decompressione. Per l'offuscamento, la minaccia include blocchi di codice non funzionante che fungono da buffer ritardandone l'esecuzione. La compressione del carico utile è stata ottenuta tramite LZMA, un algoritmo utilizzato per la compressione dei dati senza perdita di dati.

Va osservato che, per ora, rimane un mistero esattamente come Raindrop sia stato consegnato alle reti compromesse poiché finora, sembra che sia improvvisamente apparso lì. Al contrario, Teardrop è stato scaricato direttamente da Sunspot sui dispositivi selezionati.