Malware TEARDROP

Entro Mezo nel Malware, Remote Administration Tools, Trojan Downloader

Traduci in:

TEARDROP è una delle minacce malware sfruttate nell'attacco alla catena di approvvigionamento contro la piattaforma Orion di Solarwind. L'attore della minaccia ha scatenato una serie di diversi strumenti minacciosi in base agli obiettivi specifici dell'operazione e al particolare bersaglio infetto. Il malware TEARDROP, mai visto prima, ha agito come un contagocce di seconda fase, incaricato della consegna di un carico utile della fase successiva: il Cobalt Strike Beacon Implant (Versione 4). Va notato che Cobalt Strike è uno strumento di accesso remoto legittimo progettato per essere utilizzato nei test di penetrazione. Tuttavia, il suo vasto insieme di potenti funzioni lo ha reso un appuntamento fisso nell'arsenale di più gruppi di hacker. Cobalt Strike consente a un potenziale attore di minacce di stabilire un controllo quasi completo sul sistema compromesso. Il RAT (Remote Access Tool) può essere comandato per stabilire routine di keylogging, eseguire riprese arbitrarie sul sistema, fornire payload dannosi aggiuntivi, manipolare il file system ed esfiltrare dati sensibili selezionati a server remoti attraverso tunnel crittografati.

Struttura del malware TEARDROP

Il TEARDROP dropper una minacciosa libreria di collegamento dinamico (DLL) a 64 bit che opera interamente in memoria senza scrivere alcun file su disco. Funziona come un servizio, genera un thread e legge i primi 64 byte di un file denominato " festive_computer.jpg ". I dati non sono necessari per nulla e la minaccia continuerà con le sue operazioni anche senza il file "festive_computer.jpg ". Il nome effettivo del file può variare, poiché alcuni ricercatori di infosec hanno rilevato altre versioni come " gracious_truth.jpg ".

Il passaggio successivo per il malware TEARDROP è verificare la presenza di HKU \ SOFTWARE \ Microsoft \ CTF e decodificare il payload del beacon Cobalt Strike incorporato tramite un algoritmo XOR personalizzato. Infine, il contagocce carica il payload incorporato in memoria tramite un formato simile a PE personalizzato.

TEARDROP è strettamente correlato a un'altra famiglia di contagocce osservata nello stesso attacco alla catena di approvvigionamento denominato Raindrop. Le due minacce hanno funzionalità identiche e significative sovrapposizioni virtualmente e presentano alcune differenze fondamentali. Il principale fattore di distinzione tra le due famiglie di malware è l'uso di un diverso packer per Raindrop .

Ricerca

Cambia regione

Malware TEARDROP

Invia commento

Tendenza

Safe Search Eng

MarioLocker Ransomware

Il mio sfondo

I più visti

Lookmovie.io è sicuro?

Come correggere l'errore "Driver della stampante non...

Discord mostra lo schermo nero durante la...