Descubren tres nuevas cepas de malware utilizadas en el ataque a SolarWinds

Investigadores de FireEye y Microsoft han descubierto tres nuevas cepas de malware relacionadas con el ataque de cadena de suministro SolarWinds, incluida una «puerta trasera sofisticada de segunda etapa».

El caso SolarWinds está lejos de acabar y terminará convirtiéndose en la violación más grave del siglo. Si no lo es ya. Después de la comparecencia del ex CEO de SolarWinds, Kevin Thompson, en una audiencia conjunta de los comités de Supervisión de la Cámara de Representantes y Seguridad Nacional de Estados Unidos, donde intentó despejar responsabilidades por el uso incorrecto de las contraseñas de un empleado.

La investigación sobre esta campaña de espionaje que logró incluir código malicioso oculto y persistente en actualizaciones de software que la compañía envió a sus 18.000 clientes continua y compañías comprometidas como FireEye y Microsoft han encontrado tres nuevas cepas de malware.

Múltiples herramientas contra SolarWinds

Apodado GoldMax (también conocido como SUNSHUTTLE), GoldFinder y Sibot, el nuevo conjunto de malware se suma a una lista cada vez mayor de herramientas maliciosas como Sunspot , Sunburst (o Solorigate), Teardrop y Raindrop que fueron introducidas sigilosamente en las redes empresariales de grandes empresas y agencias gubernamentales por supuestos operativos rusos.

«Estas herramientas son nuevas piezas de malware exclusivas de este actor», explica Microsoft. «Están hechos a medida para redes específicas y se evalúa su introducción después de que el actor haya obtenido acceso a través de credenciales comprometidas o el binario SolarWinds y después de moverse lateralmente con Teardrop y otras acciones prácticas del teclado».

Microsoft también aprovechó la oportunidad para nombrar al responsable detrás de los ataques contra SolarWinds como NOBELIUM. Es un grupo que también está siendo rastreado bajo diferentes apodos por la comunidad de ciberseguridad, incluidos UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) y Dark Halo (Volexity).

Si bien Sunspot se implementó en el entorno de construcción para inyectar la puerta trasera Sunburst en la plataforma de monitoreo de red Orion de SolarWinds, Teardrop y Raindrop se han utilizado principalmente como herramientas posteriores a la explotación para moverse lateralmente a través de la red y entregar Cobalt Strike Beacon.

Detectado entre agosto y septiembre de 2020, SUNSHUTTLE es un malware basado en Golang que actúa como una puerta trasera de comando y control, estableciendo una conexión segura con un servidor controlado por el atacante para recibir comandos para descargar y ejecutar archivos, cargar archivos del sistema a servidor y ejecutar los comandos del sistema operativo en la máquina comprometida.

Por su parte, FireEye dijo que observó el malware en una víctima comprometida por UNC2452, pero agregó que no ha podido verificar completamente la conexión de la puerta trasera con el actor de la amenaza. La compañía también declaró que descubrió SUNSHUTTLE en agosto de 2020 después de que una entidad anónima con sede en EE. UU. lo cargara en un repositorio público de malware.

Una de las características más notables de GoldMax es la capacidad de ocultar su tráfico de red malicioso con tráfico aparentemente benigno mediante la selección pseudoaleatoria de referencias de una lista de URL de sitios web populares (como www.bing.com, www.yahoo.com, www. .facebook.com, www.twitter.com y www.google.com) para solicitudes HTTP de señuelo que apuntan a dominios C2.

Realmente espectacular el número y nivel de las herramientas utilizadas contra SolarWinds, obra de más de 1.000 programadores. Y todo lo que nos queda por saber (que es la mayoría) de lo que realmente ha ocurrido en el peor ciberataque del siglo.