Microsoft lanza una herramienta gratuita para la caza de SolarWinds …



Mientras tanto, los investigadores de SecurityScorecard dicen que el cargador de malware «sin archivos» en el ataque, Teardrop, en realidad se remonta a 2017.

Las organizaciones que investigan si son víctimas de la campaña de ataque SolarWinds o si siguen estando infectados por ella ahora tienen acceso a un conjunto de herramientas gratuito que Microsoft utilizó para eliminar el malware en su propio código.

Microsoft ofrece las consultas CodeQL que empleó para analizar su código fuente tras el descubrimiento de la infracción de SolarWinds. CodeQL es una herramienta del conjunto de herramientas de seguridad avanzada de GitHub las consultas que Microsoft utilizó con el código raíz de CodeQL que contiene similitudes en patrones y funciones con el binario SolarWinds. Estas consultas se pueden utilizar en cualquier application para detectar indicios de la campaña de ataque SolarWinds.

Y en un desarrollo separado de SolarWinds, los investigadores de seguridad de SecurityScorecard dicen que han descubierto que una pieza de malware utilizado en los ataques de SolarWinds, el cuentagotas solo para memoria denominado Teardrop que perfilaba los entornos de purple y sistemas de la víctima, se remonta a 2017 y parece ser asociado con un solo grupo de ciberespionaje ruso.

Esto sugiere que Teardrop probablemente se usó en otras operaciones de APT antes de SolarWinds por parte de este equipo de piratería del estado-nación, dice Ryan Sherstobitoff, vicepresidente de investigación e inteligencia de ciberamenazas en SecurityScorecard, señalando el marco de tiempo anterior asociado con el malware.

Teardrop, que fue nombrado por FireEye en su análisis del malware, se usó para ejecutar Cobalt Strike BEACON, una herramienta de comando y management (C2) en el kit de herramientas de código abierto Cobalt Strike que emplearon los atacantes, probablemente como una forma de camuflaje su actividad.

FireEye se hizo público por primera vez en diciembre sobre el ataque que había sufrido a manos de una actualización de software malicioso a su software program SolarWinds Orion, y que sus herramientas del equipo rojo habían sido robadas en el ataque. FireEye describió inicialmente a Teardrop, una carga útil de archivo de biblioteca de vínculos dinámicos (DLL) entregada a través del troyano Sunburst (el malware de primera etapa del ataque), como una pieza de malware que no coincidía con ninguno de los que había visto antes.

«TEARDROP no tiene superposición de código con ningún malware visto anteriormente», escribió FireEye en su detallado informe en diciembre sobre el malware SolarWinds.

Pero Sherstobitoff dice que la telemetría C2 que encontró su equipo muestra que Teardrop no se construyó necesariamente únicamente para los ataques SolarWinds, que se desencadenaron en 2020 pero se probaron en octubre de 2019. «Impulsa muchas líneas de tiempo mucho antes de lo que la gente sospechaba». él dice.

Su equipo también confirma que el atacante detrás de SolarWinds es un solo grupo APT de Rusia, dirigido a organizaciones estadounidenses. Al igual que otros proveedores de seguridad, SecurityScorecard no nombra nombres, pero los expertos suponen que es obra del SVR ruso y su equipo de piratería conocido como Cozy Bear.

Alrededor del 95% de las organizaciones de víctimas están en los EE. UU., Encontraron los investigadores, y reiteran que lo más possible es que se trate de una campaña de ciberespionaje, como creen la mayoría de los expertos. Aun así, Sherstobitoff dice que debido a que Teardrop abre una puerta trasera a la organización víctima, el temor es que pueda usarse para dejar caer otras cargas útiles más destructivas. La propia lágrima se utilizó principalmente para «tomar huellas digitales» y perfilar los sistemas y redes de la víctima.

«El desafío es, ¿hay implantes de tercera o cuarta etapa que no conocemos? Pueden ser muy personalizados», dice.

CodeQL
Mientras tanto, el lanzamiento de Microsoft de sus consultas CodeQL hoy podría ayudar a erradicar el código de ataque que podría estar profundamente incrustado en la crimson de la víctima.

«Todo lo que sea capaz de buscar comportamientos o artefactos a nivel de host ayudará a (descubrir) si hay compromisos de Teardrop o Sunburst porque el comando y control en este punto probablemente esté fuera de línea», señala Sherstobitoff.

Microsoft dijo la versión de código abierto es un esfuerzo por compartir sus hallazgos sobre el ataque de malware, al que llama Solorigate.

«Con la creciente sofisticación de los ataques como Solorigate, es más importante que nunca que la comunidad de seguridad trabaje junta con transparencia para compartir los aprendizajes cuando sea posible. Desde que se detectaron estos ataques, hemos trabajado en estrecha colaboración entre bastidores con la comunidad de seguridad y hemos publicado docenas de actualizaciones técnicas y herramientas para empoderar a los defensores «, dijo un portavoz de Microsoft.» El código abierto de consultas de CodeQL es otro ejemplo de cómo las técnicas de intercambio que Microsoft ha encontrado útiles pueden dar a los defensores la ventaja que necesitan para ayudar a protegerse contra ataques sofisticados «.

Kelly Jackson Higgins es la editora ejecutiva de Darkish Looking through. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, que incluyen Community Computing, Secure Business … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original