Microsoft und FireEye entlarven weitere Malware, die mit SolarWinds-Angreifern in Verbindung steht

Cyber Security News

Forscher von Microsoft und FireEye haben drei neue Malware-Familien gefunden, die laut ihnen von der Bedrohungsgruppe hinter dem SolarWinds-Angriff verwendet werden.

Forscher haben weitere benutzerdefinierte Malware aufgedeckt, die von der Bedrohungsgruppe hinter dem SolarWinds-Angriff verwendet wird.

Forscher von Microsoft und FireEye haben drei neue Malware-Teile identifiziert, die nach Angaben der Unternehmen von dem Bedrohungsakteur (von Microsoft zuvor Solarigate genannt und jetzt in Nobelium umbenannt; und von FireEye als UNC2542 bezeichnet) in einem späten Stadium der Aktivität verwendet werden.

Zu den Malware-Familien gehören: Eine Backdoor, die von Microsoft als GoldMax und von FireEye als Sunshuttle bezeichnet wird; eine Dual-Purpose-Malware namens Sibot, die von Microsoft entdeckt wurde; und eine Malware namens GoldFinder, die ebenfalls von Microsoft gefunden wurde.

Angreifer konnten die Netzwerkmanagement-Plattform Orion von SolarWinds nutzen, um Ziele zu infizieren, indem sie eine benutzerdefinierte Backdoor namens Sunburst über trojanisierte Produkt-Updates verbreiteten. Sunburst wurde ab März letzten Jahres an fast 18.000 Organisationen rund um den Globus ausgeliefert. Mit Sunburst konnten die Angreifer dann auswählen, in welche Organisationen sie weiter eindringen wollten – in einer ausgedehnten Cyberspionage-Kampagne, die die US-Regierung, Tech-Unternehmen und andere schwer getroffen hat.

Microsoft sagte, dass es diese neuesten benutzerdefinierten Angreifer-Tools entdeckt hat, die in einigen Netzwerken von Kunden lauern, die von den SolarWinds-Angreifern kompromittiert wurden. Es beobachtete, dass sie von August bis September im Einsatz waren – weitere Analysen ergaben jedoch, dass sie möglicherweise bereits im Juni letzten Jahres auf kompromittierten Systemen waren.

“Diese Tools sind neue Stücke von Malware, die einzigartig für diesen Akteur sind”, sagte Ramin Nafisi und Andrea Lelli mit Microsoft, in einem Posting am Donnerstag. “Sie sind auf bestimmte Netzwerke zugeschnitten und werden vermutlich eingeführt, nachdem sich der Akteur über kompromittierte Anmeldeinformationen oder die SolarWinds-Binärdatei Zugang verschafft hat, und nachdem er sich mit Teardrop und anderen Hands-on-Tastaturaktionen seitlich bewegt hat.”

GoldMax/Sunshuttle-Malware

Forscher sowohl von FireEye als auch von Microsoft sind auf die Malware namens GoldMax/Sunshuttle gestoßen und haben in gemeinsamen Veröffentlichungen Analysen dazu veröffentlicht. FireEye-Forscher erklärten, dass der Infektionsvektor der Malware unbekannt ist und dass es sich wahrscheinlich um eine Backdoor der zweiten Stufe handelt, die nach einer ersten Kompromittierung des Systems eingeschleust wurde. Die Backdoor wurde im August von einer US-amerikanischen Organisation in ein öffentliches Malware-Repository hochgeladen.

Das Bemerkenswerteste an GoldMax/Sunshuttle ist die Tatsache, dass es Referrer aus einer Liste beliebter Website-URLs (einschließlich Bing.com, Yahoo.com, Facebook.com und Google.com) auswählen kann, um seinen Netzwerkverkehr mit legitimem Datenverkehr zu “vermischen” – und so eine heimliche Möglichkeit zu bieten, die Erkennung zu umgehen.

Die neue Sunshuttle-Backdoor ist eine ausgeklügelte Backdoor der zweiten Stufe, die einfache, aber elegante Techniken zur Umgehung von Erkennungen demonstriert, indem sie den Datenverkehr für die Command-and-Control (C2)-Kommunikation “einblendet”, so die Forscher von FireEye in einer Mitteilung vom Donnerstag. “Sunshuttle würde in einer solchen Kompromittierung als Backdoor der zweiten Stufe fungieren, um neben anderen Sunburst-bezogenen Tools Netzwerkerkundungen durchzuführen.”

Bei der Ausführung zählt die in der Programmiersprache Go geschriebene Backdoor zunächst die MAC-Adresse des Opfers auf und vergleicht sie mit einem fest kodierten MAC-Adresswert, bei dem es sich den Forschern zufolge wahrscheinlich um eine Standard-MAC-Adresse für den Windows-Sandbox-Netzwerkadapter handelt. Wenn eine Übereinstimmung gefunden wird, verlässt die Backdoor das System. Wenn nicht, ermittelt sie die Konfigurationseinstellungen für das System und fordert dann einen “Sitzungsschlüssel” für den C2-Server an und ruft ihn ab.

“Die Analyse, wie der entschlüsselte Sitzungsschlüssel verwendet wird, ist noch im Gange, aber es handelt sich wahrscheinlich um einen Sitzungsschlüssel, der zur Verschlüsselung von Inhalten verwendet wird, sobald Sunshuttle zu seinen Command-and-Control-Routinen übergeht”, so die Forscher.

Sobald ein Sitzungsschlüssel vom C2 abgerufen wird, sendet die Malware ein Beacon aus, das Befehle abruft, und analysiert dann den Inhalt der Antwort, um zu bestimmen, welcher Befehl ausgeführt werden soll. Die Befehle vom C2 umfassen die Fernaktualisierung seiner Konfiguration, das Hoch- und Herunterladen von Dateien sowie die Ausführung beliebiger Befehle.

Sibot-Malware

Microsoft-Forscher fanden außerdem eine weitere Malware-Familie namens Sibot, die darauf ausgelegt ist, auf infizierten Rechnern zu persistieren, bevor sie eine Nutzlast vom C2-Server herunterlädt und ausführt.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/03/04161530/Fig10-Sibot-variants-300x215.png]

Kredit: Microsoft

Sibot ist in VBScript implementiert, der von Microsoft entwickelten Active Scripting-Sprache, die an Visual Basic angelehnt ist. Den Forschern zufolge erhält die VBScript-Datei der Malware einen Namen, der eine legitime Windows-Aufgabe imitiert, die entweder in der Registry des kompromittierten Systems oder in einem verschleierten Format auf der Festplatte gespeichert wird. Sie wird dann über einen geplanten Task ausgeführt.

“Der geplante Task ruft eine MSHTA-Anwendung auf, um Sibot über das verschleierte Skript auszuführen”, so die Forscher, die drei Varianten der Malware fanden. “Diese einfache Implementierung ermöglicht einen geringen Fußabdruck für den Akteur, da er neuen Code ohne Änderungen am kompromittierten Endpunkt herunterladen und ausführen kann, indem er einfach die gehostete DLL aktualisiert.”

Ein Skript der zweiten Stufe wird dann aufgerufen, um eine Nutzlast vom entfernten C2-Server herunterzuladen und auszuführen.

GoldFinder-Malware

Schließlich entdeckten Forscher von Microsoft ein neues Tool, das ebenfalls in Golang geschrieben wurde und GoldFinder heißt. Sie sagten, dass GoldFinder wahrscheinlich als “benutzerdefiniertes HTTP-Tracer-Tool verwendet wird, das die Route oder Hops protokolliert, die ein Paket nimmt, um einen fest kodierten C2-Server zu erreichen.”

“Wenn GoldFinder gestartet wird, kann es alle HTTP-Proxy-Server und andere Redirectoren wie Netzwerksicherheitsgeräte identifizieren, die eine HTTP-Anfrage innerhalb und außerhalb des Netzwerks durchläuft, um den beabsichtigten C2-Server zu erreichen”, so die Forscher. “Wenn GoldFinder auf einem kompromittierten Gerät eingesetzt wird, kann es dazu verwendet werden, den Akteur über potenzielle Entdeckungspunkte zu informieren oder seine anderen Aktionen zu protokollieren, wie z. B. die C2-Kommunikation mit GoldMax.”

Andere SolarWinds-Malware

Die Aufdeckung dieser drei Malware-Familien liefert ein weiteres Puzzlestück zum besseren Verständnis des ausgedehnten SolarWinds-Spionageangriffs. Es ist bekannt, dass von der Kampagne bisher verschiedene Bundesbehörden, Microsoft, FireEye und Dutzende andere betroffen waren.

Andere einzigartige Malware wurde mit dem SolarWinds-Angriff in Verbindung gebracht. Zusätzlich zu Sunburst, der Malware, die als Speerspitze der Kampagne verwendet wurde, haben Forscher im Januar weitere Malware mit den Namen Raindrop und Teardrop enttarnt, die in gezielten Angriffen nach der anfänglichen Massenkompromittierung von Sunburst verwendet wurden.

Weitere Informationen:

SolarWinds-Hack möglicherweise mit Turla APT verbunden SolarWinds stellt Chris Krebs und Alex Stamos nach dem Angriff ein Microsoft ist in SolarWinds Spionagebemühungen verwickelt und schließt sich Bundesbehörden an Sunbursts C2-Geheimnisse enthüllen SolarWinds-Opfer der zweiten Stufe Nuklearwaffen-Agentur gehackt in Ausweitung der Cyberattacke Der SolarWinds Perfect Storm: Standard-Passwort, Zugriffsverkäufe und mehr DHS unter den Opfern eines ausgeklügelten Cyberangriffs durch ausländische Angreifer FireEye Cyberangriff kompromittiert Red-Team-Sicherheitstools

Einige Teile dieses Artikels stammen aus:
threatpost.com