SUNBURST Malware

Entro GoldSparrow nel Malware

Traduci in:

Il SUNBURST Malware è una nuova minaccia che è stata lanciata attraverso una prolungata campagna di attacchi alla catena di approvvigionamento. L'operazione è in corso almeno da marzo 2020. Secondo i ricercatori di infosec, gli autori delle minacce hanno compromesso il meccanismo di aggiornamento del software SolarWinds Orion e l'hanno costretto a iniziare a fornire la minaccia Trojan SUNBURST.

L'attrattiva principale degli attacchi alla catena di approvvigionamento è che la violazione di un obiettivo con successo darà agli hacker l'accesso a un ampio sottoinsieme di potenziali vittime. In effetti, gli utenti sono abituati a fare in modo che il loro software installi automaticamente nuovi aggiornamenti e non vi presterà necessariamente attenzione. Per mascherare ulteriormente la sua presenza, SUNBURST non inizia immediatamente la sua attività minacciosa, scegliendo invece di restare basso per un po 'sul sistema compromesso. Il Trojan è stato quindi implementato completamente contro vittime selezionate per le quali gli hacker hanno mostrato un interesse significativo. Finora, oltre 2000 sistemi di computer appartenenti a 100 entità diverse sono stati rilevati come infettati dagli aggiornamenti software Trojan che trasportavano SUNBURST.

La metodologia utilizzata dai criminali informatici includeva la modifica di una DLL SolarWinds legittima chiamata SolarWinds.Orion.Core.BusinessLayer.dll. Gli hacker hanno aggiunto una nuova classe al file denominato OrionImprovementBusinessLayer, che potrebbe eseguire un'ampia gamma di funzioni minacciose sulla macchina compromessa. Tra le funzioni Trojan, i ricercatori di infosec hanno scoperto la capacità di raccogliere ed estrarre informazioni sensibili, manipolare file e sistemi di registro, accedere alle informazioni sugli adattatori di rete, recuperare ed eseguire codice arbitrario, riavviare il sistema e una funzione per terminare se stessa.
Le informazioni raccolte da SUNBURST sono sia vaste che varie. La minaccia raccoglie il dominio, il nome host, il nome utente, la versione del sistema operativo, il SID dell'account amministratore mentre dagli adattatori di rete registra l'indirizzo MAC, DHCPE abilitato, DHCPServer, DNSHostName, IPAddress, IPSubnet, DefaultIPGateway, ecc.

Va notato che SUNBURST è stato firmato utilizzando un certificato che dichiara che è stato emesso da Symantec. La società ha chiarito di aver venduto la sua autorità di certificazione nel 2018 e che il certificato in questione era un certificato legacy che utilizzava ancora il marchio Symantec.