Se encuentran sombras de SolarWinds Assault Malware en la nueva puerta trasera de ‘Tomiris’



Los actores de amenazas persistentes avanzadas (APT) rara vez simplemente detienen sus operaciones cuando su malware y sus técnicas quedan al descubierto. Muchos simplemente se reagrupan, actualizan sus kits de herramientas y reanudan las operaciones cuando el calor se ha calmado un poco.

Tal parece ser el caso, al menos circunstancialmente, de DarkHalo, el actor de amenazas afiliado al gobierno ruso detrás del ataque de suministro a SolarWinds que sacudió a la industria de una manera diferente a cualquier campaña maliciosa en la memoria reciente.

Los investigadores de Kaspersky dijeron esta semana que habían detectado una nueva puerta trasera que llamaron «Tomiris», que tiene múltiples atributos que sugieren un enlace a «Sunshuttle», un malware de segunda etapa que DarkHalo utilizó en su campaña SolarWinds. Esto incluye el lenguaje de programación utilizado para Tomiris, sus mecanismos de ofuscación y persistencia, y el flujo de trabajo general de las dos muestras de malware.

Kaspersky descubrió la puerta trasera de Tomiris en junio mientras investigaba incidentes exitosos de secuestro de DNS que afectaron a las agencias gubernamentales de un país que anteriormente pertenecía a la Unión Soviética y ahora es miembro de la Comunidad de Estados Independientes de nueve países. El proveedor de seguridad describió que los incidentes de secuestro de DNS ocurrieron en períodos breves en diciembre de 2020 y enero de 2021. En los ataques, el actor de la amenaza redirigió el tráfico de los servidores de correo electrónico del gobierno afectados a los servidores que controlaba. El robo de credenciales parece haber sido el motivo de la campaña, dijo Kaspersky en un reporte
esta semana.

Si bien las similitudes entre Tomiris y Sunshuttle por sí solas no son suficientes para vincular de manera concluyente al primero con DarkHalo, sí sugieren que las dos muestras de malware fueron desarrolladas por el mismo autor o tenían prácticas de desarrollo compartidas, según Kaspersky.

«Si nuestra hipótesis resulta cierta, demostraría que DarkHalo es capaz de reconstruir sus capacidades relativamente rápido después de haber sido sorprendido en el acto», dice Ivan Kwiatkowski, investigador de seguridad senior de Kaspersky. «También solidificaría nuestra percepción de ellos como actores de amenazas sofisticados y cuidadosos que pueden poner en marcha escenarios de ataques complejos, como ataques a la cadena de suministro o secuestro de DNS».

DarkHalo, también rastreado como Nobelium, UNC2452 y StellarParticle, es un grupo de amenazas que varios proveedores de seguridad y otros, incluido el Gobierno de los Estados Unidos – se han vinculado al Servicio de Inteligencia Exterior de Rusia, SVR. El grupo es responsable de irrumpir en el entorno de desarrollo de computer software de SolarWinds e incorporar un troyano en las actualizaciones firmadas de la tecnología de gestión de red Orion de la empresa. Unas 18.000 organizaciones recibieron las actualizaciones troyanizadas, de las cuales se cree que menos de 100 han sido blanco de ataques posteriores y robo de datos.

La investigación de SolarWinds sobre la violación, después de que FireEye notificara a la compañía en diciembre de 2020, mostró que los actores de DarkHalo habían comenzado a sondear sus redes en 2019 y posteriormente obtuvieron acceso a su entorno de construcción. Utilizaron el acceso para incrustar un troyano llamado Sunburst en las actualizaciones del producto Orion que se distribuyeron a 18.000 organizaciones. Posteriormente, los atacantes utilizaron Sunburst para descargar malware adicional en sistemas pertenecientes a las aproximadamente 100 organizaciones que eran los principales objetivos de la campaña. Los objetivos incluyeron agencias del gobierno federal de EE. UU., Proveedores de seguridad y grandes corporaciones.

Sunshuttle, el malware que se parece a Tomiris, fue una de las herramientas que los actores de DarkHalo dejaron caer como parte de esta segunda fase de su campaña. El malware, escrito en GoLang, brindó a los actores de amenazas una forma de comunicarse con los sistemas comprometidos y ejecutar de forma remota comandos maliciosos, como la carga y descarga de archivos. FireEye Mandiant
descubrió que los actores de DarkHalo habían utilizado el malware en ataques que se remontaban al menos a agosto de 2020, o cuatro meses antes de que SolarWinds descubriera que sus actualizaciones de Orion habían sido envenenadas.

Similitudes de malware
Según Kaspersky, el nuevo malware Tomiris que detectó recientemente está codificado en el lenguaje de programación Go, al igual que Sunshuttle. Al igual que su aparente predecesor, Tomiris utiliza un único método de ofuscación común para codificar tanto las configuraciones como el tráfico de purple. Ambas familias de malware utilizan tácticas similares, como retrasos en el sueño para la persistencia, y tienen características similares integradas en sus funciones.

Los errores ortográficos en el código de Tomiris y Sunshuttle sugieren que ambas herramientas de malware fueron desarrolladas por un equipo que no hablaba inglés de forma nativa. Los investigadores también descubrieron Tomiris en redes donde las máquinas habían sido infectadas con
Kazuar
, una herramienta de malware asociada con el grupo ruso APT Turla, cuyo código se superpone con Sunburst de DarkHalo.

Los investigadores dejaron muy claro que las similitudes sugieren solo un vínculo tenue entre Tomiris y DarkHalo. Pero si los dos están realmente vinculados, muestra que el grupo DarkHalo, que desapareció sin dejar rastro después de que se descubrió la brecha de SolarWinds, ha resurgido. Para hacer ese vínculo de manera concluyente, Kaspersky necesitaría información adicional, dice Kwiatkowski.

«Idealmente, necesitaríamos encontrar pruebas de que una de las familias se utilizó para implementar malware que pertenece a una de las otras dos», dice. «Salvo esto, si otros miembros de la comunidad confirmaran nuestra opinión sobre las similitudes entre Sunshuttle y Tomiris, aumentaría nuestra confianza general».

Kaspersky ha compartido su investigación con las víctimas de los ataques de secuestro de DNS y los clientes de su servicio de inteligencia de amenazas. La compañía continúa rastreando la actividad de Tomiris, pero ha llegado al punto en que se han analizado todos los datos disponibles, dice Kwiatkowski. Invitó a la comunidad de seguridad en normal a replicar los hallazgos de Kaspersky para confirmar o refutar el vínculo entre Tomiris y DarkHalo.

Tomiris y su vínculo con DarkHalo, si es correcto, es otro recordatorio para las organizaciones empresariales y las entidades gubernamentales de cuán determinados pueden ser sus adversarios cibernéticos, señala Kwiatkowski.

«Muestra que la defensa del perímetro no es suficiente y que se deben tomar medidas para intentar detectar a los atacantes mientras están dentro de la pink», dice.



Enlace a la noticia primary