Microsoft publica nueva información sobre la cadena de ataque SolarWinds



Los actores de amenazas hicieron todo lo posible para mantener la seguridad operativa en torno a la activación de la carga útil de la segunda etapa, dice la compañía.

Más de un mes después de que se descubriera por primera vez la brecha de SolarWinds que afectó a numerosas organizaciones, se siguen filtrando nuevos detalles de la sofisticada operación.

La información más reciente proviene de Microsoft, que esta semana dio a conocer detalles de su análisis de las tácticas utilizadas por los actores de amenazas para activar una carga útil de segunda etapa para descargar el kit de ataque Cobalt Strike en sistemas infectados.

Según Microsoft, ese aspecto certain de la cadena de ataques no ha sido claro hasta ahora y es significativo porque revela hasta qué punto los atacantes fueron para garantizar la seguridad operativa.

«Un eslabón perdido en la compleja cadena de ataque de Solorigate es el traspaso de la puerta trasera de la DLL de Solorigate al cargador de Cobalt Strike», dijo Microsoft en un blog site atribuido a miembros de los diversos equipos de seguridad e inteligencia de amenazas de la compañía. «Nuestras investigaciones muestran que los atacantes hicieron todo lo posible para asegurarse de que estos dos componentes estén separados tanto como sea posible para evadir la detección».

Solorigate es el nombre de Microsoft para SUNBURST, una biblioteca de vínculos dinámicos (DLL) envenenada que se distribuyó a miles de organizaciones como parte de actualizaciones legítimas del software de administración de red Orion de SolarWinds entre marzo y junio del año pasado. Aproximadamente 18.000 entidades gubernamentales, empresas de seguridad y grandes corporaciones, incluida la propia Microsoft, descargaron sin saberlo las actualizaciones de SolarWinds en sus redes.

Investigaciones posteriores de numerosas empresas de ciberseguridad y otras demostraron que los actores de amenazas estaban realmente interesados ​​en solo un pequeño subconjunto de las organizaciones que habían descargado involuntariamente la puerta trasera Solorigate / SUNBURST.

En esos casos, la puerta trasera se comunicó con un servidor de comando y control remoto y descargó malware de segunda etapa denominado «Raindrop» por Symantec y «Teardrop» por FireEye, una de las muchas empresas violadas por la actualización de SolarWinds, en los sistemas infectados. Luego, los atacantes usaron Raindrop / Teardrop para descargar el package de ataque Cobalt Strike que les dio una forma de obtener el handle total del entorno comprometido y permitió el movimiento lateral y la escalada de privilegios.

En su Blog Esta semana, Microsoft ofreció un análisis técnico completo de las medidas que tomaron los atacantes para activar la carga útil de la segunda etapa mientras intentaban mantenerla separada de las actividades relacionadas con la puerta trasera inicial SolarWinds SUNBURST / Raindrop.

Según Microsoft, los atacantes lograron esto utilizando un conocido método de ataque MITRE llamado ejecución activada por evento, donde se ejecuta código malicioso en un sistema host cuando se inicia un proceso específico. En este caso, los actores de amenazas utilizaron el proceso de SolarWinds para crear un valor de registro denominado Opciones de ejecución de archivos de imagen (IEFO) para ejecutar el archivo VBScript malicioso cuando el dllhost dot exe El proceso se ejecuta en el sistema infectado. los dllhost dot exe El proceso es un proceso legítimo de Home windows para iniciar otras aplicaciones y sistemas.

Cuando se activa, VBScript ejecuta otro ejecutable que activa la DLL Cobalt Strike en un proceso que está completamente desconectado y separado del proceso SolarWinds. El VBScript también elimina el valor del registro IEFO y otros rastros de la secuencia de eventos que sucedieron, según Microsoft.

Detalles emergentes
Los motivos completos detrás de la operación y sus víctimas siguen sin estar claros, o al menos no se han revelado públicamente, aunque algunos creen que pudo haber sido por espionaje corporativo o espionaje. FireEye, Microsoft, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y muchos otros han descrito la operación como el trabajo de un actor altamente sofisticado respaldado por el estado. Algunos, incluidos los del gobierno de Estados Unidos, han culpado del ataque a actores con sede en Rusia, pero los proveedores de seguridad que han investigado la campaña hasta ahora dicen que no han podido atribuir el ataque a ningún grupo o país específico.

Muchos han descrito el ataque de SolarWinds como uno de los más sofisticados de la historia reciente por la forma en que se distribuyó la carga útil inicial y las complejas medidas que tomaron los atacantes para ocultar sus actividades.

Para distribuir SUNBURST / Solorigate, los atacantes primero secuestraron el sistema de compilación del application SolarWinds y utilizaron malware que CrowdStrike ha denominado «SUNSPOT» para insertar la puerta trasera en un componente firmado digitalmente de las actualizaciones del software Orion de SolarWinds. Luego agregaron varias salvaguardas alrededor de SUNSPOT para garantizar que las compilaciones de Orion de SolarWinds no fallaran y alertaron a los desarrolladores sobre la violación, según CrowdStrike.

Vientos solares ha descrito sus propias investigaciones, revelando que los atacantes comenzaron a manipular sus sistemas en septiembre de 2019. Luego, los actores de amenazas introdujeron silenciosamente modificaciones en la plataforma Orion para aparentemente probar su capacidad para introducir malware en el software program de SolarWinds sin ser detectados. Después de las pruebas, los actores de amenazas introdujeron el código malicioso en las versiones de la plataforma Orion a partir de febrero de 2020.Los atacantes permanecieron sin ser detectados en el entorno de SolarWinds hasta junio de 2020, momento en el que eliminaron proactivamente el malware, probablemente porque ya habían logrado su objetivo para entonces. .

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary