SUNSPOT Malware

O SUNSPOT Malware é um Trojan que injeta código corrompido em outros programas durante o processo de montagem, normalmente devido a um ataque que compromete a cadeia de suprimentos. O ator da ameaça atualmente o usa para distribuir cavalos de Tróia secundários com recursos de backdoor para supostamente espionar sistemas comprometidos. Os usuários devem desabilitar atualizações e software de empresas com servidores comprometidos e usar utilitários anti-malware de forma adequada para remover o Malware SUNSPOT e todas as ameaças relacionadas.

Notórios Nomes de Hackers Reaparecendo em Espionagem

As violações da cadeia de suprimentos envolvem algumas das ameaças, explorações e iscas de phishing mais sofisticadas e especializadas disponíveis para os hackers Black Hat. A confirmação do Malware SUNSPOT, o terceiro Trojan em um pseudo-sequestro massivo de servidores internos da SolarWinds Inc, é uma evidência clara de que os hackers de alto risco estão vivos em 2021. Embora os primeiros casos de teste do Malware SUNSPOT remontem a 2019, é a verificação eventual como uma ameaça independente para seus outros coortes, Sunburst e Teardrop, mostra melhor a estratégia operacional do invasor.

O SUNSPOT Malware é um Trojan especializado que monitora os servidores de construção em busca de comandos para montar um aplicativo de destino - como a SolarWinds 'Orion Platform, uma ferramenta modular de gerenciamento de rede. Com cada construção, o SUNSPOT Malware substitui o código por equivalentes corrompidos. Embora esse ataque possa ter várias consequências, por enquanto, o agente da ameaça transforma as atualizações de software Orion oficiais, mas comprometidas, em instaladores de dupla finalidade para um segundo cavalo de Troia, o Sunburst.

O Sunburst também é 'apenas' um mecanismo de entrega que monitora sistemas infectados para determinar se eles merecem mais atenção do ator da ameaça ainda não atribuído. Em um caso positivo, o invasor infecta o sistema com outro Trojan backdoor, o Teardrop, para vigilância de longo prazo. Também digno de nota é que Sunburst compartilha algumas semelhanças de código interno com Kazuar, o que levanta o espectro do APT de Turla - embora esta pista de identidade seja provisória.

Apagando as Luzes dos Espiões que Pegam Carona com as Atualização

Como aqueles na campanha do Malware SUNSPOT, um ataque à cadeia de suprimentos é altamente adequado para violar entidades corporativas multinacionais ou redes governamentais. Algumas instituições afirmam que o trio de ameaças é responsabilidade pública dos agentes de inteligência russos. No entanto, na ausência de evidências mais significativas, o setor de segurança refere-se ao ator de ameaça do SUNSPOT Malware por aliases neutros, como StellarParticle e DarkHalo.

Os usuários domésticos correm pouco risco com o Malware SUNSPOT, mas os funcionários devem monitorar os vetores normais de infecção, qualquer um dos quais pode fazer parte dos mecanismos de implantação do Malware SUNSPOT. Táticas de phishing de e-mail com documentos de fatura falsos, links da web ofuscados em plataformas de mensagens sociais e senhas fracas de força bruta são algumas das vulnerabilidades que os especialistas em malware alertam para não considerar levianamente. Naturalmente, os administradores também devem desabilitar o software com servidores de atualização comprometidos até a confirmação da renovação da segurança da empresa.

As soluções de segurança padrão devem incluir atualizações de banco de dados para identificar e remover o Malware SUNSPOT, Sunburst ou Teardrop dos sistemas das vítimas corretamente. As recomendações para precauções pós-desinfecção incluem a alteração de senhas e outras credenciais que os invasores podem roubar após obter acesso pela porta dos fundos ao dispositivo ou PC.

Por causa dos recursos necessários para fazê-los acontecer, os ataques à cadeia de suprimentos são sempre notícia, mesmo para pesquisadores de segurança cansados. Os especialistas em malware recomendam que os usuários tratem o Malware SUNSPOT como uma lição valiosa sobre como manter uma segurança de rede geral forte e não considerar garantida a segurança mesmo das atualizações legítimas.