SUNBURST Malware

Tegen GoldSparrow in Malware

Vertalen naar:

De SUNBURST Malware is een nieuwe bedreiging die is afgeleverd via een langdurige aanval op de toeleveringsketen. De operatie is aan de gang sinds minstens maart 2020. Volgens onderzoekers van Infosec hebben dreigingsactoren het updatemechanisme van de SolarWinds Orion-software gecompromitteerd en gedwongen om de SUNBURST Trojan-dreiging af te leveren.

De belangrijkste aantrekkingskracht van supply chain-aanvallen is dat het succesvol doorbreken van één doel de hackers toegang geeft tot een groot aantal potentiële slachtoffers. Gebruikers zijn er immers aan gewend dat hun software automatisch nieuwe updates installeert en zullen er niet noodzakelijkerwijs op letten. Om zijn aanwezigheid verder te maskeren, start SUNBURST zijn bedreigende activiteit niet onmiddellijk, maar kiest ervoor om een tijdje op het gecompromitteerde systeem te blijven liggen. De Trojan werd vervolgens volledig ingezet tegen geselecteerde slachtoffers waar de hackers veel belangstelling voor toonden. Tot dusver is vastgesteld dat meer dan 2000 computersystemen van 100 verschillende entiteiten besmet waren met de Trojanized software-updates met SUNBURST.

De methode die door de cybercriminelen werd gebruikt, omvatte de wijziging van een legitieme SolarWinds DLL genaamd SolarWinds.Orion.Core.BusinessLayer.dll. De hackers voegden een nieuwe klasse toe aan het bestand met de naam OrionImprovementBusinessLayer, die een breed scala aan bedreigende functies op de gecompromitteerde machine zou kunnen uitvoeren. Onder de Trojan-functies ontdekten infosec-onderzoekers de mogelijkheid om gevoelige informatie te oogsten en te exfiltreren, de bestands- en registersystemen te manipuleren, toegang te krijgen tot informatie op netwerkadapters, willekeurige code op te halen en uit te voeren, het systeem opnieuw op te starten en een functie om zichzelf te beëindigen.
De informatie die door SUNBURST wordt verzameld, is zowel enorm als gevarieerd. De bedreiging verzamelt het domein, de hostnaam, de gebruikersnaam, de OS-versie, de SID van de admin-account, terwijl het van de netwerkadapters het MAC-adres, DHCPE ingeschakeld, DHCPServer, DNSHostName, IP-adres, IPSubnet, DefaultIPGateway, etc. registreert.

Opgemerkt moet worden dat SUNBURST is ondertekend met een certificaat waarin staat dat het is uitgegeven door Symantec. Het bedrijf verduidelijkte dat het zijn certificeringsinstantie in 2018 had verkocht en dat het certificaat in kwestie een verouderd certificaat was dat nog steeds de merknaam Symantec gebruikt.