El nuevo malware utilizado por los atacantes de SolarWinds pasó desapercibido durante años

Les nouveaux logiciels malveillants utilisés par les attaquants de SolarWinds sont passés inaperçus pendant des années Noticias

El actor de amenazas detrás del compromiso de la cadena de suministro de SolarWinds ha seguido ampliando su arsenal de malware con nuevas herramientas y técnicas que se implementaron en ataques ya en 2019, una vez indicativos de la naturaleza esquiva de las campañas y la capacidad del adversario para mantener el acceso persistente para años.

Según la firma de ciberseguridad CrowdStrike, que detalló las tácticas novedosas adoptada por el grupo de piratería Nobelium la semana pasada, se colocaron dos familias de malware sofisticado en los sistemas de las víctimas, una variante de Linux de GoldMax y un nuevo implante denominado TrailBlazer, mucho antes de que saliera a la luz la escala de los ataques.

Nobelium, el apodo asignado por Microsoft para la intrusión de SolarWinds en diciembre de 2020, también es rastreado por la comunidad de ciberseguridad más amplia con los nombres UNC2452 (FireEye), SolarStorm (Unidad 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) y Iron Ritual (Secureworks).

Desde entonces, las actividades maliciosas se han atribuido a un actor patrocinado por el estado ruso llamado APT29 (también conocido como The Dukes and Cozy Bear), una operación de espionaje cibernético asociada con el Servicio de Inteligencia Exterior del país desde al menos 2008.

GoldMax (también conocido como SUNSHUTTLE), que fue descubierto por Microsoft y FireEye en marzo de 2021, es un malware basado en Golang que actúa como una puerta trasera de comando y control, estableciendo una conexión segura con un servidor remoto para ejecutar comandos arbitrarios en la máquina comprometida. .

En septiembre de 2021, Kaspersky reveló detalles de una segunda variante de la puerta trasera GoldMax llamada Tomiris que se implementó contra varias organizaciones gubernamentales en un estado miembro no identificado de la CEI en diciembre de 2020 y enero de 2021.

La última iteración es una implementación de Linux previamente no documentada pero funcionalmente idéntica del malware de segunda etapa que se instaló en los entornos de las víctimas a mediados de 2019, anterior a todas las demás muestras identificadas creadas para la plataforma Windows hasta la fecha.

También se entregó en el mismo período TrailBlazer, una puerta trasera modular que ofrece a los atacantes un camino hacia el espionaje cibernético, al tiempo que comparte puntos en común con GoldMax en la forma en que enmascara su tráfico de comando y control (C2) como solicitudes HTTP legítimas de notificaciones de Google.

Otros canales poco comunes utilizados por el actor para facilitar los ataques incluyen:

  • Salto de credenciales para oscurecer el movimiento lateral
  • Oficina 365 (O365) Principal de servicio y aplicación secuestro, suplantación de identidad y manipulación, y
  • Robo de cookies del navegador para eludir la autenticación multifactor

Además, los operadores llevaron a cabo múltiples instancias de robo de credenciales de dominio con meses de diferencia, cada vez que aprovecharon una técnica diferente, una de ellas fue el uso del ladrón de contraseñas Mimikatz en memoria, desde un host ya comprometido para garantizar el acceso durante períodos prolongados de tiempo.

«La campaña StellarParticle, asociada con el grupo adversario Cozy Bear, demuestra el amplio conocimiento de este actor de amenazas de los sistemas operativos Windows y Linux, Microsoft Azure, O365 y Active Directory, y su paciencia y conjunto de habilidades encubiertas para pasar desapercibido durante meses, y en algunos casos, años», dijeron los investigadores.

David
Rate author
Hackarizona