in

Malware de ataque Shades of SolarWinds encontrado en la nueva puerta trasera «Tomiris»



Los actores de Advanced Persistent Threat (APT) rara vez simplemente dejan de operar cuando su malware y sus técnicas están expuestos. Muchos simplemente se reagrupan, actualizan sus kits de herramientas y reanudan las operaciones cuando el calor ha disminuido un poco.

Este parece ser el caso, al menos de manera incómoda, con DarkHalo, el actor de amenazas afiliado al gobierno ruso detrás del ataque de suministro a SolarWinds, que sacudió a la industria de una manera que no ha habido ninguna campaña maliciosa recientemente.

Los investigadores de Kaspersky dijeron esta semana que descubrieron una nueva puerta trasera que llamaron «Tomiris» que tiene varios atributos que apuntan a un enlace a «Sunshuttle», un malware de segundo nivel que usó DarkHalo en su campaña SolarWinds. Esto incluye el lenguaje de programación utilizado para Tomiris, sus mecanismos de ofuscación y persistencia, y el flujo de trabajo general de los dos ejemplos de malware.

Kaspersky descubrió la puerta trasera de Tomiris en junio mientras investigaba incidentes exitosos de secuestro de DNS que involucraron a agencias gubernamentales en un país que anteriormente era parte de la Unión Soviética y ahora es miembro de la Comunidad de Estados Independientes de nueve países. El proveedor de seguridad describió los incidentes de secuestro de DNS como períodos cortos de tiempo en diciembre de 2020 y enero de 2021. Durante los ataques, el actor de la amenaza redirigió el tráfico de los servidores de correo electrónico del gobierno afectados a los servidores bajo su control. El robo de credenciales parece haber sido el motivo de la campaña, dijo Kaspersky en un informe esta semana.

Aunque las similitudes entre Tomiris y Sunshuttle por sí solas no son suficientes para asociar de manera concluyente al primero con DarkHalo, sugieren, según Kaspersky, que los dos ejemplos de malware fueron desarrollados por el mismo autor o prácticas de desarrollo compartidas.

«Si nuestra hipótesis se confirma, mostraría que DarkHalo puede reconstruir sus habilidades relativamente rápido después de que lo atrapen con las manos en la masa», dice Ivan Kwiatkowski, investigador de seguridad senior de Kaspersky. «También consolidaría nuestra percepción de ellos como actores de amenazas sofisticados y cautelosos capaces de configurar escenarios de ataque complejos, como ataques a la cadena de suministro o secuestro de DNS».

DarkHalo, también conocido como Nobelium, UNC2452 y StellarParticle, es un grupo de amenazas que varios proveedores de seguridad y otros, incluido el gobierno de EE. UU., Han vinculado al servicio de inteligencia exterior ruso SVR. El grupo es responsable de irrumpir en el entorno de desarrollo de software de SolarWinds e incorporar un caballo de Troya en las actualizaciones firmadas de la tecnología de gestión de red Orion de la empresa. Aproximadamente 18.000 organizaciones recibieron las actualizaciones troyanizadas, de las cuales se creía que menos de 100 habían sido blanco de ataques posteriores y robo de datos.

La investigación de SolarWinds sobre la violación, después de que FireEye notificara a la compañía en diciembre de 2020, reveló que los actores de DarkHalo ya habían comenzado a investigar sus redes en 2019 y luego tenían acceso a su entorno de construcción. Utilizaron el acceso para incrustar un caballo de Troya llamado Sunburst en las actualizaciones del producto Orion que se distribuyeron a 18.000 organizaciones. Posteriormente, los atacantes utilizaron Sunburst para descargar malware adicional en los sistemas de las aproximadamente 100 organizaciones que eran el objetivo principal de la campaña. Los destinos incluían agencias federales de EE. UU., Proveedores de seguridad y grandes corporaciones.

Sunshuttle, el malware similar a Tomiris, fue una de las herramientas que los actores de DarkHalo dejaron caer durante esta segunda fase de su campaña. El malware escrito en GoLang les dio a los actores de amenazas la capacidad de comunicarse con los sistemas comprometidos y ejecutar de forma remota comandos maliciosos como la carga y descarga de archivos. FireEye Mandiant descubrió que los actores de DarkHalo habían utilizado el malware en ataques al menos hasta agosto de 2020, o cuatro meses antes de que SolarWinds descubriera que sus actualizaciones de Orion habían sido envenenadas.

Similitudes de malware
Según Kaspersky, el nuevo malware recientemente descubierto Tomiris está codificado en el lenguaje de programación Go, al igual que Sunshuttle. Al igual que su predecesor obvio, Tomiris utiliza un método de ofuscación común único para codificar tanto las configuraciones como el tráfico de red. Ambas familias de malware utilizan tácticas similares, como: B. Retrasos del sueño por persistencia y características similares integradas en sus funciones.

Los errores ortográficos tanto en el código de Tomiris como en el de Sunshuttle sugieren que ambas herramientas de malware fueron desarrolladas por un equipo que no hablaba inglés nativo. Los investigadores también descubrieron Tomiris en redes donde las máquinas estaban infectadas con Kazuar, una herramienta de malware del grupo ruso APT Turla, cuyo código se superpone con Sunburst de DarkHalo.

Los investigadores dejaron muy claro que las similitudes solo sugieren una conexión débil entre Tomiris y DarkHalo. Sin embargo, si los dos están realmente vinculados, muestra que el grupo DarkHalo, que desapareció sin dejar rastro después de que se descubrió la caída de SolarWinds, ha resurgido. Para establecer esta conexión de manera concluyente, Kaspersky necesitaría información adicional, dice Kwiatkowski.

«Idealmente, deberíamos encontrar evidencia de que una de las familias fue utilizada para implementar malware por una de las otras dos», dice. «Dicho esto, aumentaría nuestra confianza general si otros miembros de la comunidad confirmaran nuestras opiniones sobre las similitudes entre Sunshuttle y Tomiris».

Kaspersky ha compartido su investigación con víctimas de ataques de secuestro de DNS y clientes de su servicio de inteligencia de amenazas. La compañía continúa rastreando las actividades de Tomiris, pero ha llegado al punto en que se han analizado todos los datos disponibles, dice Kwiatkowski. Instó a la comunidad de seguridad en general a replicar los hallazgos de Kaspersky para confirmar o refutar la conexión entre Tomiris y DarkHalo.

Tomiris y su conexión con DarkHalo, si es correcta, es otro recordatorio para las organizaciones corporativas y agencias gubernamentales de cuán determinados pueden ser sus adversarios cibernéticos, señala Kwiatkowski.

«Muestra que la defensa del perímetro es insuficiente y que se deben tomar medidas para detectar a los atacantes mientras están en la red», dice.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Un script para enumerar rápidamente todos los sitios web en todas las redes de su empresa, guardar sus respuestas y consultarlas sobre tecnologías web conocidas, como: B. con vulnerabilidades de día cero

Informe de amenazas ESET T2 2021