Специалисты Symantec обнаружили четвертую малварь, Raindrop, которая использовалась во время атаки на компанию SolarWinds, наряду с вредоносами Sunspot, Sunburst (он же Solorigate) и Teardrop.

По информации исследователей, Raindrop применялся злоумышленниками на последних этапах атаки и был развернут только в сетях нескольких избранных целей (было найдено лишь четыре образца малвари).

Напомню, что компания SolarWinds, которая раз­рабаты­вает для пред­при­ятий ПО, помога­ющее управлять их сетями, сис­темами и инфраструк­турой, подверглась взлому в середине 2019 года, и эту атаку на цепочку поставок приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).

Про­ник­нув в сеть SolarWinds, зло­умыш­ленни­ки снаб­дили плат­форму Orion, пред­назна­чен­ную для цен­тра­лизо­ван­ного монито­рин­га и управле­ния, вре­донос­ным обновле­нием. В резуль­тате множес­тво кли­ентов SolarWinds уста­нови­ли заражен­ную вер­сию плат­формы и, сами того не зная, впус­тили хакеров в свои сети. Сре­ди пос­тра­дав­ших чис­лятся такие гиган­ты, как Microsoft, Cisco, FireEye, а так­же мно­жес­тво пра­витель­ствен­ных агентств США, вклю­чая Гос­деп и Наци­ональ­ное управле­ние по ядер­ной безопас­ности.

Как ранее стало известно из отчетов ИБ-экспертов, сначала атакующие развернули в сети SolarWinds малварь Sunspot. Аналитики компании CrowdStrike писали, что этот вредонос использовался для внедрения в код Orion бэкдора Sunburst. Зараженные версии Orion оставались незамеченными и были активны в период с марта по июнь 2020 года, а компании-пользователи Orion оказались скомпрометированы. Сог­ласно офи­циаль­ным дан­ным, сре­ди 300 000 кли­ентов SolarWinds толь­ко 33 000 исполь­зовали Orion, а заражен­ная вер­сия плат­формы была уста­нов­лена при­мер­но у 18 000 кли­ентов. При этом хакеры развивали свою атаку далее лишь в редких случаях, тщательно выбирая среди пострадавших крупные цели.

Sunburst сам по себе не был особенно сложным, он лишь собирал информацию о зараженной сети и передавал эти данные на удаленный сервер. Если в итоге операторы малвари решали, что жертва является перспективной целью для развития атаки, они удаляли Sunburst и заменяли его на более мощный бэкдор-троян Teardrop.

Но как теперь сообщает компания Symantec, в некоторых случаях атакующие предпочитали использовать малварь Raindrop, а не Teardrop. Оба бэкдора имеют схожую функциональность и характеризуются исследователями как «загрузчик для маяка Cobalt Strike», то есть они применялись злоумышленниками для расширения доступа внутри взломанной сети. Впрочем, у Raindrop и Teardrop есть и различия, которые исследователи перечисляют в приведенной ниже таблице.

 

Отличался и способ развертывания вредоносов. Так, широко используемый бэкдор Teardrop устанавливался непосредственно малварью Sunburst, тогда как Raindrop появился в системах жертв, где тоже был установлен Sunburst, таинственным образом, то есть у экспертов нет прямых доказательств того, что именно Sunburst инициировал его установку. Нужно сказать, что ранее в отчетах специалистов уже упоминалось, что Sunburst применялся для запуска различных бесфайловых PowerShell-пелоадов, многие из которых почти не оставляли следов на зараженных хостах. Можно предположить, что загадочное «появление» Raindrop в системах пострадавших как раз являлось результатом этих операций.

Оставить мнение