Microsoft y FireEye descubren más malware utilizado en el …



Las herramientas recién descubiertas se diseñaron para un uso tardío después de que los atacantes ya habían establecido una presencia relativamente firme en una purple violada, dicen los proveedores.

Al igual que las capas proverbiales de una cebolla, los investigadores que investigan la brecha en SolarWinds y las numerosas intrusiones de red relacionadas que resultaron de ella han ido descubriendo nuevas facetas del ataque cuanto más lo han despejado.

El último es Microsoft, que el jueves reveló que ha descubierto tres herramientas de malware más que los atacantes utilizaron en su campaña para espiar y robar datos de agencias gubernamentales y algunas de las empresas más grandes del mundo.

En un nuevo informe, Microsoft describe las tres nuevas herramientas como malware en etapa tardía que los atacantes parecen haber utilizado una vez que ya habían establecido un punto de apoyo relativamente firme en las redes de las víctimas. La empresa identifica las herramientas como GoldMax, una puerta trasera de comando y command (C2) para los atacantes Sibot, una herramienta para mantener la persistencia en una pink violada y GoldFinder, una herramienta de rastreo HTTP para registrar la ruta que toma un paquete para llegar a un servidor C2. Cada una de las herramientas se diseñó a medida para su uso en redes específicas, lo que está de acuerdo con la práctica del atacante de usar malware e infraestructura únicos para cada víctima, dice Microsoft.

En un informe simultáneo, FireEye dice que también ha descubierto la puerta trasera GoldMax de segunda etapa dirigida a una entidad con sede en EE. UU. El proveedor de seguridad, sin embargo, está llamando a la puerta trasera SUNSHUTTLE.

Los investigadores de Microsoft descubrieron las nuevas herramientas en las redes de los clientes que se habían visto comprometidas a través de SolarWinds o por otros medios. Según la compañía, su análisis mostró que las herramientas habían estado presentes en algunas redes desde junio de 2020. La brecha de SolarWinds en sí misma, y ​​la campaña más amplia de la que formaba parte, no se descubrió hasta meses después, en diciembre de 2020.

«Estas herramientas son nuevas piezas de malware que son exclusivas de este actor», afirman los miembros del equipo de seguridad e inteligencia de amenazas de Microsoft en el reporte. «Están hechos a medida para redes específicas y se evalúa su introducción después de que el actor haya obtenido acceso a través de credenciales comprometidas o el binario SolarWinds». Las herramientas parecen estar diseñadas para su uso después de que los atacantes ya se habían movido lateralmente en una pink comprometida y después de haber llevado a cabo lo que se conoce como acciones prácticas en el teclado, dice Microsoft.

La empresa ha nombrado formalmente al grupo que cree que está detrás de toda la campaña NOBELIUM. La mayoría de los otros que han estado rastreando la amenaza, como FireEye, todavía están rastreando al grupo como una entidad desconocida. FireEye ha estado rastreando la actividad hasta el momento UNC2542.

FireEye dice su grupo de inteligencia de amenazas Mandiant había descubierto SUNSHUTTLE (también conocido como GoldMax) cuando una entidad con sede en EE. UU. lo cargó en un repositorio público de malware. «Alguien cargó un archivo en un repositorio de malware y los metadatos en la carga sugieren que era de EE. UU.», Dice Ben Read, gerente senior de análisis de Mandiant Risk Intelligence. «No tenemos nada más para compartir en el cargador».

El ataque a SolarWinds, que se cree que se inició en algún momento a fines de 2019, es ampliamente considerado como una de las violaciones cibernéticas más importantes de la memoria reciente, tanto por su sofisticación como por su orientación. Muchos, incluido el gobierno de Estados Unidos, han dicho que el ataque fue obra de un grupo respaldado por el estado altamente calificado y con buenos recursos que opera desde Rusia. Pero los proveedores que investigan la violación han dicho hasta ahora que no han podido ubicar los ataques con certeza en ningún país.

El ataque involucró a los actores de amenazas que obtuvieron acceso al proceso de desarrollo de application de SolarWinds e inyectaron un binario envenenado, llamado SUNBURST, en actualizaciones legítimas firmadas del software package de administración de pink Orion de la compañía. Las actualizaciones envenenadas se distribuyeron sin ser detectadas a miles de clientes de SolarWinds durante un período de varios meses antes de que los atacantes eliminaran silenciosamente el malware de las actualizaciones de SolarWinds. Unos 18.000 clientes recibieron las actualizaciones envenenadas, pero solo un pequeño puñado de ellos parecía haber sido de interés para el atacante. En estas redes, el atacante usó la puerta trasera SUNBURST para implementar una herramienta de malware de memoria de segunda etapa llamada Teardrop, que a su vez debía implementar el package de ataque Cobalt Strike. Los atacantes utilizaron esas herramientas y otros mecanismos para moverse lateralmente en redes violadas y mantener la persistencia.

Más tarde, los investigadores descubrieron que los mismos atacantes habían utilizado medios distintos de las actualizaciones del software package SolarWinds para acceder a las redes. Algunos de estos métodos incluían el robo de credenciales y los ataques de adivinación y propagación de contraseñas. En las redes violadas de esta manera, los atacantes instalaron una carga útil de segunda etapa diferente llamada Raindrop, que, como Teardrop, se utilizó para descargar herramientas de malware adicionales.

Lista creciente de herramientas de malware
Las divulgaciones de esta semana de Microsoft y FireEye se suman a la creciente lista de herramientas que los investigadores están descubriendo que se utilizaron en la campaña.

Microsoft describió GoldMax como escrito en el lenguaje de programación Go y utilizado para comunicaciones C2 cifradas. Como todas las demás herramientas de malware utilizadas en la campaña SolarWinds, GoldMax también utiliza varias técnicas diferentes para ocultarse en las redes y evitar la detección. Uno de ellos era un mecanismo que generaba tráfico señuelo para que el tráfico malicioso estuviera rodeado de tráfico aparentemente benigno. Los dominios C2 en sí mismos eran dominios de gran reputación del tipo que es poco possible que los productos de seguridad marquen por ser demasiado nuevos o registrados demasiado recientemente.

En su informe, FireEye explain GoldMax / SUNSHUTTLE como una puerta trasera sofisticada con técnicas de detección y evasión «sencillas pero elegantes». «Es una herramienta separada que se usaría en diferentes circunstancias», dice Brandan Schondorfer, consultor principal de Mandiant Risk Intelligence. «SUNSHUTTLE y la actividad adicional amplían nuestra comprensión de la amplitud de las capacidades (del actor de amenazas) y el acceso a herramientas extensas», dice.

Mientras tanto, Sibot es una herramienta de doble propósito implementada en VBScript para mantener la persistencia y para ejecutar cargas útiles maliciosas desde el servidor C2. Microsoft dice que su análisis descubrió tres versiones del malware, cada una con una ligera funcionalidad.

GoldFinder, la tercera herramienta nueva que descubrió Microsoft, también está escrita en el lenguaje Go, como GoldMax. Su función de rastreo HTTP parece haber sido diseñada para informar a los actores de amenazas sobre cualquier punto de descubrimiento o punto de registro de sus actividades maliciosas en una crimson comprometida, dice Microsoft.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique