DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Raindrop - Mã độc thứ 4 trong cuộc tấn công vào SolarWinds
Các nhà nghiên cứu an ninh mạng vừa phát hiện thêm một loại mã độc được thiết kế để phát tán phần mềm độc hại sang các máy tính khác trong mạng của nạn nhân từ vụ tấn công chuỗi cung ứng SolarWinds vào cuối năm ngoái
Được đặt tên là "Raindrop", đây là mẫu mã độc thứ 4 được phát hiện sau Sunspot, Sunburst (hay Solorigate) và Teardrop trong vụ tấn công nói trên.
Phát hiện mới nhất này được đưa ra trong bối cảnh có rất nhiều cuộc điều tra về cuộc tấn công chuỗi cung ứng SolarWinds, bị nghi ngờ là có nguồn gốc từ Nga.
Công ty an ninh mạng Symantec cho biết họ chỉ phát hiện ra 4 mẫu Raindrop hiện đang được sử dụng để phát tán Cobalt Strike Beacon - một backdoor trong bộ nhớ có khả năng thực thi lệnh, ghi lại thao tác bàn phím, gửi file, leo thang đặc quyền, quét cổng và mở rộng phạm vi lây lan đến các thiết bị khác.
Trước đó, mã độc thứ 2 Teardrop cũng đã được sử dụng để cài đặt Cobalt Strike Beacon.Tuy nhiên theo các nhà nghiên cứu của Check Point, Teardrop có thể để lại dấu vết, trong trường hợp này là Beacon, một payload có chứa Cobalt Striker. Điều này khiến việc lây lan sẽ khó khăn hơn và vẫn bị các phần mềm diệt virus phát hiện.
"Trong khi Teardrop được sử dụng trên các máy tính đã bị nhiễm Trojan Sunburst (mã độc đầu tiên bị phát hiện trong cuộc tấn công vào SolarWinds), Raindrop lại xuất hiện ở một nơi khác trên mạng, được những kẻ tấn công sử dụng để mở rộng phạm vi lây lan và triển khai mã độc trên các máy tính khác."
Đáng chú ý là những kẻ tấn công đã sử dụng Sunspot (mã độc thứ 2) để xâm nhập vào SolarWinds vào tháng 9 năm 2019, sau đó triển khai mã độc vào môi trường phát triển phần mềm của SolarWinds và đưa Sunburst Trojan vào nền tảng giám sát mạng SolarWinds Orion. Phần mềm SolarWinds Orion bị nhiễm độc sau đó đã được giao cho 18.000 khách hàng của công ty.
Phân tích của Microsoft về cách thức của Sunburst cho thấy kẻ tấn công đã cẩn thận khi lựa chọn mục tiêu, chỉ leo thang các cuộc tấn công trong một số trường hợp bằng cách triển khai Teardrop dựa trên thông tin tích lũy được trong quá trình thu thập thông tin ban đầu về môi trường mục tiêu với các tài khoản hệ thống và tài nguyên mạng có giá trị cao.
Cả Raindrop và Teardrop đều được triển khai khi xâm nhập thành công vào một hệ thống để phân phối Cobalt Strike Beacon, tuy nhiên cách thức hoạt động của chúng lại khác nhau.
Ban đầu, Teardrop được phân phối trực tiếp bởi backdoor Sunburst, trong khi Raindrop dường như lại được triển khai với mục tiêu lây lan trên mạng của nạn nhân. Ngoài ra, Teardrop xuất hiện trên các mạng mà có ít nhất một máy tính đã bị xâm nhập bởi Sunburst, trong khi với một hệ thống bị nhiễm phần mềm độc hại Raindrop không có dấu hiệu cho thấy backdoor này đã được kích hoạt.
Hai loại phần mềm độc hại cũng sử dụng các trình đóng gói và cấu hình Cobalt Strike khác nhau.
Symantec không xác định các tổ chức bị ảnh hưởng bởi Raindrop nhưng cho biết các mẫu Raindrop được tìm thấy trong hệ thống của nạn nhân đang chạy phần mềm quản lý và truy cập máy tính và thực hiện lệnh PowerShell để lây nhiễm các máy tính khác trong tổ chức.
Được đặt tên là "Raindrop", đây là mẫu mã độc thứ 4 được phát hiện sau Sunspot, Sunburst (hay Solorigate) và Teardrop trong vụ tấn công nói trên.
Phát hiện mới nhất này được đưa ra trong bối cảnh có rất nhiều cuộc điều tra về cuộc tấn công chuỗi cung ứng SolarWinds, bị nghi ngờ là có nguồn gốc từ Nga.
Công ty an ninh mạng Symantec cho biết họ chỉ phát hiện ra 4 mẫu Raindrop hiện đang được sử dụng để phát tán Cobalt Strike Beacon - một backdoor trong bộ nhớ có khả năng thực thi lệnh, ghi lại thao tác bàn phím, gửi file, leo thang đặc quyền, quét cổng và mở rộng phạm vi lây lan đến các thiết bị khác.
Trước đó, mã độc thứ 2 Teardrop cũng đã được sử dụng để cài đặt Cobalt Strike Beacon.Tuy nhiên theo các nhà nghiên cứu của Check Point, Teardrop có thể để lại dấu vết, trong trường hợp này là Beacon, một payload có chứa Cobalt Striker. Điều này khiến việc lây lan sẽ khó khăn hơn và vẫn bị các phần mềm diệt virus phát hiện.
"Trong khi Teardrop được sử dụng trên các máy tính đã bị nhiễm Trojan Sunburst (mã độc đầu tiên bị phát hiện trong cuộc tấn công vào SolarWinds), Raindrop lại xuất hiện ở một nơi khác trên mạng, được những kẻ tấn công sử dụng để mở rộng phạm vi lây lan và triển khai mã độc trên các máy tính khác."
Đáng chú ý là những kẻ tấn công đã sử dụng Sunspot (mã độc thứ 2) để xâm nhập vào SolarWinds vào tháng 9 năm 2019, sau đó triển khai mã độc vào môi trường phát triển phần mềm của SolarWinds và đưa Sunburst Trojan vào nền tảng giám sát mạng SolarWinds Orion. Phần mềm SolarWinds Orion bị nhiễm độc sau đó đã được giao cho 18.000 khách hàng của công ty.
Phân tích của Microsoft về cách thức của Sunburst cho thấy kẻ tấn công đã cẩn thận khi lựa chọn mục tiêu, chỉ leo thang các cuộc tấn công trong một số trường hợp bằng cách triển khai Teardrop dựa trên thông tin tích lũy được trong quá trình thu thập thông tin ban đầu về môi trường mục tiêu với các tài khoản hệ thống và tài nguyên mạng có giá trị cao.
Cả Raindrop và Teardrop đều được triển khai khi xâm nhập thành công vào một hệ thống để phân phối Cobalt Strike Beacon, tuy nhiên cách thức hoạt động của chúng lại khác nhau.
Ban đầu, Teardrop được phân phối trực tiếp bởi backdoor Sunburst, trong khi Raindrop dường như lại được triển khai với mục tiêu lây lan trên mạng của nạn nhân. Ngoài ra, Teardrop xuất hiện trên các mạng mà có ít nhất một máy tính đã bị xâm nhập bởi Sunburst, trong khi với một hệ thống bị nhiễm phần mềm độc hại Raindrop không có dấu hiệu cho thấy backdoor này đã được kích hoạt.
Hai loại phần mềm độc hại cũng sử dụng các trình đóng gói và cấu hình Cobalt Strike khác nhau.
Symantec không xác định các tổ chức bị ảnh hưởng bởi Raindrop nhưng cho biết các mẫu Raindrop được tìm thấy trong hệ thống của nạn nhân đang chạy phần mềm quản lý và truy cập máy tính và thực hiện lệnh PowerShell để lây nhiễm các máy tính khác trong tổ chức.
Theo The Hacker News