ALERTĂ: Atac de tip supply chain prin actualizările oferite de compania SolarWinds

Foto: helpnetsecurity.com

Săptămâna trecută, Fireye anunța că a fost victima unui incident de securitate cibernetică sofisticat „provocat de un actor statal”. Atacatorii au vizat una dintre diviziile companiei, mai precis cea care simulează atacuri pentru a descoperi vulnerabilități și a dezvolta ulterior soluții de securitate.

Pentru că Fireye furnizează produse de networking și de securitate către numeroase instituții guvernamentale, atacatorii au avut ca țintă informații legate de acești clienți, conform declarațiilor directorului executiv al companiei.

În acel moment nu se cunoșteau foarte multe despre atac, dar între timp un raport Fireye arată faptul că a fost vorba despre un atac ce a exploatat o vulnerabilitate a unei terțe părți respectiv SolarWinds (www.solarwinds.com). SolarWinds are puncte de lucru peste tot în lume și are o sucursală inclusiv în România.

Practic, atacatorii au reușit să altereze actualizările lansate de compania SolarWinds, pentru a obține acces neautorizat. Investigațiile în derulare au relevat indicii credibile potrivit cărora atacul este în conexiune cu APT29 sau Cozy Bear, și ar fi fost inițiat în primăvara anului 2020.

Impact

Actualizările lansate de SolarWinds au fost utilizate pentru a distribui un backdoor numit SUNBURST, însă nu sunt cunoscute toate consecințele atacului. Printre instituțiile care utilizează produse SolarWinds se află Pentagonul, Departamentul de Stat American, NASA, NSA, Serviciul Poștal American, NOAA, Departmentul de Justiție, inclusiv Președinția SUA.

Aparent, serverul de update-uri a fost compromis încă din martie, astfel că toate update-urile descărcate în perioada martie-decembrie 2020 au conținut un backdoor ce oferea atacatorilor acces complet la echipamente! Software-ul SolarWinds afectat se numește Orion, iar după update backdoor-ul rămâne inactiv timp de 2 săptămâni, după care își ascunde activitatea malițioasă sub activitatea utilitarului Orion. Se estimează că aproximativ 18.000 de clienți SolarWinds au instalat versiunea de update cu variantele de malware TEARDROP și BEACON.

Cum funcționează atacul

Specialiștii au analizat mai multe mostre SUNBURST, care furnizau payload-uri diferite. În cel puțin un caz, pentru lansarea Cobalt Strike BEACON atacatorii au folosit un memory-only dropper care nu a mai fost observat până acum. Dropper-ul a fost denumit ulterior TEARDROP.

TEARDROP este un memory-only dropper care rulează ca serviciu, creează un thread și accesează fișierul „gracious_truth.jpg”, care probabil are un header JPG fals. Ulterior, acesta verifică dacă există HKU\SOFTWARE\Microsoft\CTF, apoi decodează un payload integrat, prin utilizarea unui algoritm XOR care rulează și încarcă manual în memorie payload-ul integrat ce utilizează un fișier modificat de tipul PE. TEARDROP nu utilizează cod identficat până acum în altă variantă de malware. Este posibil să fi fost utilizată exclusiv pentru executarea unui Cobalt Strike BEACON modificat.

Remediere

FireEye a oferit două reguli de YARA pentru a detecta TEARDROP, disponibile pe GitHub. Totodată trebuie urmărite constant alertele venite de la FireEye HX: Malware Guard și WindowsDefender. În plus, se recomandă evaluări de tip forensics, dacă folosiți SolarWinds Orion.

Informații despre proces

file_operation_closed

file-path*: “c:\\windows\\syswow64\\netsetupsvc.dll

actor-process:

pid: 17900

Log entries pentru Windows Defender Exploit Guard: (Microsoft-Windows-Security-Mitigations/KernelMode event ID 12)

Process”\Device\HarddiskVolume2\Windows\System32\svchost.exe” (PID XXXXX) would have been blocked from loading the non-Microsoft-signed binary

‘\Windows\SysWOW64\NetSetupSvc.dll’

Hostname-urile atacatorilor sunt cele ale mediului victimă

Atacatorul stabilește hostname-ul din infrastructura lui de comandă și control, pentru a imita pe cel găsit în mediul victimei. Asta îi va permite să se integreze în noul mediu, să evite suspiciunile și mai ales să fie detectat.

Echipa CERT-RO vă pune la dispoziție o serie de materiale - ghid de acțiuni recomandate și o listă de resurse publice despre cum funcționează acest tip de atac - pentru a vă asigura că organizația dumneavoastră nu mai este afectată de acest backdoor dezvăluit recent. Acestea pot fi descărcate din secțiunea 'CONȘTIENTIZARE/GHIDURI' de pe site sau accesând documentele de la finalul acestui articol.

Indicatori de compromis (IOC)

.appsync-api.eu-west-1[.]avsvmcloud[.]com

.appsync-api.us-west-2[.]avsvmcloud[.]com

.appsync-api.us-east-1[.]avsvmcloud[.]com

.appsync-api.us-east-2[.]avsvmcloud[.]com

10.0.0.0/8

172.16.0.0/12

192.168.0.0/16

224.0.0.0/3

fc00:: - fe00::

fec0:: - ffc0::

ff00:: - ff00::