Raindrop Malware

Onderzoekers van Infosec hebben aangekondigd dat ze erin geslaagd zijn een nieuwe malwarestam te ontdekken die wordt ingezet als onderdeel van de massale SolarWind supply chain-aanval. De malwarebedreiging, genaamd Raindrop, werd tijdens de eindfase van de infectie gebruikt tegen slechts een handvol speciaal door de hackers geselecteerde slachtoffers. De eerdere malware-stammen die zijn gedocumenteerd door de beveiligingsbedrijven die het incident hebben onderzocht, zijn Sunspot, Sunburst (Solorigate) en Teardrop.

Elke malware vervulde een aparte rol en werd op een specifiek moment tijdens de bedreigende operatie weergegeven. De aanval op SolarWinds zou medio 2019 zijn uitgevoerd toen de bedreigingsacteur het netwerk van het bedrijf infiltreerde en het infecteerde met de Sunspot-malware. Het was zijn taak om op het juiste moment te wachten voordat het bouwproces van de SolarWinds 'Orion-app werd gestart en gewijzigd door de Sunburst (Solorigate) next-stage malware te injecteren. Toen de geknipte versie van de applicatie werd geüpload naar officiële servers en beschikbaar werd gemaakt om te downloaden, zouden de klanten van SolarWinds deze onbewust downloaden en de malware in hun eigen netwerken laten infiltreren.

Met meer dan 18.000 SolarWinds-klanten moesten de hackers bepalen welke doelen het waard waren om de aanval verder te escaleren. Om hun keuzes te beperken, vertrouwden ze op informatie die was verzameld en vervolgens werd geëxfiltreerd door de Sunburst (Solorigate) -malware. De dreigingsacteur zette zijn activiteiten alleen voort op een kleine subset van doelen, voornamelijk Amerikaanse overheidsinstanties, Microsoft en FireEye, een beveiligingsbedrijf. Bij die slachtoffers kreeg Sunburst de opdracht om de volgende fase malware Teardrop op te halen en in te zetten, die op zijn beurt de functies vervulde van een lader die de laatste lading leverde - een Cobalt Strike Beacon-variant.

Regendruppel - vergelijkbare functies, andere code

Het lijkt erop dat Teardrop niet alomtegenwoordig werd ingezet, want voor vier verschillende doelen gebruikten de cybercriminelen de nieuw ontdekte Raindrop-soort. Functioneel beschikken de twee malwarebedreigingen over vrijwel identieke mogelijkheden. Ze waren allebei verantwoordelijk voor het leveren van de Cobalt Strike Beacon-payload, waardoor de hackers hun bereik binnen het gecompromitteerde netwerk konden vergroten.

Als je naar de onderliggende code kijkt, zie je echter aanzienlijke verschillen. Regendruppel is alleen waargenomen in een shellcode-indeling; het maakt gebruik van steganografie die op specifieke locaties binnen de machinecode wordt geïnjecteerd. De technieken voor codering, verduistering en compressie zijn ook totaal verschillend tussen de twee soorten. Raindrop maakt gebruik van een combinatie van een AES-laag vóór decompressie en een XOR-laag na decompressie. Ter verduistering omvat de dreiging stukjes niet-functionele code die als buffer fungeren en de uitvoering ervan vertraagt. Payload-compressie werd bereikt via LZMA, een algoritme dat wordt gebruikt voor verliesloze datacompressie.

Opgemerkt moet worden dat het voorlopig een raadsel blijft hoe Raindrop precies werd afgeleverd bij de gecompromitteerde netwerken, want het lijkt erop dat het daar plotseling verscheen. Teardrop werd daarentegen rechtstreeks door Sunspot naar de geselecteerde apparaten gedownload.