Forscher finden zusätzliche Infrastruktur, die von SolarWinds-Hackern genutzt wird

Cyber Security News

Der ausgedehnte SolarWinds-Cyberangriff, der im vergangenen Dezember bekannt wurde, war bekannt für seine Raffinesse in der Breite der Taktiken, die verwendet wurden, um die Zielinfrastruktur zu infiltrieren und dort zu bleiben, so sehr, dass Microsoft den Bedrohungsakteur hinter der Kampagne als “geschickte und methodische Operatoren” bezeichnete, “die den Best Practices der Operations Security (OpSec) folgen, um Spuren zu minimieren, unter dem Radar zu bleiben und eine Entdeckung zu vermeiden.”

Neue Forschungsergebnisse, die heute veröffentlicht wurden, zeigen jedoch, dass der Bedrohungsakteur jede Phase der Operation sorgfältig geplant hat, um “die Erstellung von Mustern zu vermeiden, die eine Verfolgung einfach machen”, und so die forensische Analyse absichtlich erschwert.

Durch die Analyse von Telemetriedaten, die mit zuvor veröffentlichten Kompromittierungsindikatoren in Verbindung stehen, hat RiskIQ mit hoher Wahrscheinlichkeit eine zusätzliche Gruppe von 18 Servern identifiziert, die wahrscheinlich mit den gezielten, sekundären Cobalt Strike-Nutzlasten kommunizierten, die über die Malware TEARDROP und RAINDROP ausgeliefert wurden.

[Blocked Image: https://thehackernews.com/images/-F6uIYIM1HU4/YHc_zlYQIjI/AAAAAAAA3ww/LiZQUqk8VF4NmFffFdQLXkunBuUDOa4FgCLcBGAsYHQ/s300-e100/thn-300-5.png]

Die “versteckten Muster” wurden durch eine Analyse der von der Gruppe verwendeten SSL-Zertifikate aufgedeckt.

Die Entwicklung kommt eine Woche, nachdem die US-Geheimdienste den Lieferketten-Hack offiziell dem russischen Auslandsgeheimdienst (SVR) zugeschrieben haben. Die Kompromittierung der SolarWinds-Software-Lieferkette soll APT29 (auch bekannt als Cozy Bear oder The Dukes) die Möglichkeit gegeben haben, mehr als 16.000 Computersysteme weltweit aus der Ferne auszuspionieren oder potenziell zu stören, so die US-Regierung.

Die Angriffe werden von der Cybersecurity-Community unter verschiedenen Namen verfolgt, darunter UNC2452 (FireEye), Nobelium (Microsoft), SolarStorm (Unit 42), StellarParticle (Crowdstrike) und Dark Halo (Volexity), unter Berufung auf Unterschiede in den Taktiken, Techniken und Verfahren (TTP), die der Angreifer einsetzt, mit denen bekannter Angreiferprofile, zu denen APT29 zählt.

“Forscher oder Produkte, die auf die Erkennung bekannter APT29-Aktivitäten eingestellt sind, würden die Kampagne nicht erkennen, während sie stattfindet”, sagte Kevin Livelli, RiskIQs Director of Threat Intelligence. “Sie hätten es ebenso schwer, die Spur der Kampagne zu verfolgen, sobald sie sie entdeckt haben, weshalb wir so wenig über die späteren Phasen der SolarWinds-Kampagne wissen.”

Zu Beginn dieses Jahres stellte der Windows-Hersteller fest, dass die Angreifer große Anstrengungen unternahmen, um sicherzustellen, dass die ursprüngliche Backdoor (SUNBURST alias Solorigate) und die Implantate nach der Kompromittierung (TEARDROP und RAINDROP) so weit wie möglich voneinander getrennt blieben, um die Bemühungen zu erschweren, ihre bösartigen Aktivitäten zu erkennen. Dies geschah, damit in dem Fall, dass die Cobalt Strike-Implantate in den Netzwerken der Opfer entdeckt würden, die kompromittierte SolarWinds-Binärdatei und der Angriff auf die Lieferkette, der zu ihrem Einsatz führte, nicht aufgedeckt würden.

[Blocked Image: https://thehackernews.com/images/-InfTQtUM5C4/YHc_0ZGpd6I/AAAAAAAA3w4/MWDrU14UJKQj4OKBMbp0NWLiHrGgZ1IwQCLcBGAsYHQ/s728-e100/thn-728-5.png]

Aber laut RiskIQ ist dies nicht der einzige Schritt, den der APT29-Akteur unternommen hat, um seine Spuren zu verwischen, zu denen auch – Der Kauf von Domains über Drittanbieter und bei Domain-Auktionen unter wechselnden Namen, um Informationen über die Eigentümerschaft zu verschleiern, sowie der Rückkauf abgelaufener Domains, die zuvor im Besitz legitimer Organisationen waren, über einen Zeitraum von mehreren Jahren. Hosting der Angriffsinfrastruktur der ersten Stufe (SUNBURST) vollständig in den USA, der zweiten Stufe (TEARDROP und RAINDROP) hauptsächlich innerhalb der USA und der dritten Stufe (GOLDMAX alias SUNSHUTTLE) hauptsächlich im Ausland. Der Angriffscode wurde so gestaltet, dass keine zwei Malware-Teile, die in den aufeinanderfolgenden Phasen der Infektionskette eingesetzt wurden, gleich aussahen, und Entwicklung der SUNBURST-Hintertür der ersten Stufe, damit sie nach zwei Wochen mit zufälligem Jitter an ihre Command-and-Control (C2)-Server sendet, wahrscheinlich um die typische Lebensdauer der Ereignisprotokollierung auf den meisten hostbasierten Endpoint Detection and Response (EDR)-Plattformen zu überleben.

“Die Identifizierung der Angriffsinfrastruktur eines Bedrohungsakteurs beinhaltet in der Regel die Korrelation von IPs und Domains mit bekannten Kampagnen, um Muster zu erkennen”, so Livelli.

“Unsere Analyse zeigt jedoch, dass die Gruppe umfangreiche Maßnahmen ergriffen hat, um Forscher von ihrer Spur abzubringen”, was darauf hindeutet, dass der Bedrohungsakteur umfangreiche Maßnahmen ergriffen hat, um die Erstellung solcher Muster zu vermeiden.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com