Los investigadores de seguridad cibernética han descubierto una cuarta nueva cepa de malware, diseñada para propagar el malware a otras computadoras en las redes de las víctimas, que se implementó como parte del ataque a la cadena de suministro de SolarWinds revelado a fines del año pasado.
Apodado «Raindrop» por Symantec, propiedad de Broadcom, el malware se une a otros implantes maliciosos como Sunspot, Sunburst (o Solorigate) y Teardrop que se entregaron sigilosamente a las redes empresariales.
El último hallazgo se produce en medio de una investigación continua sobre la violación, que se sospecha que es de origen ruso, que se ha cobrado varias agencias gubernamentales de EE. UU. y empresas del sector privado.
«El descubrimiento de Raindrop es un paso importante en nuestra investigación de los ataques de SolarWinds, ya que proporciona más información sobre la actividad posterior al compromiso en las organizaciones de interés para los atacantes», dijeron los investigadores de Symantec.
La firma de seguridad cibernética dijo que descubrió solo cuatro muestras de Raindrop hasta la fecha que se usaron para entregar Cobalt Strike Beacon, una puerta trasera en memoria capaz de ejecutar comandos, registro de teclas, transferencia de archivos, escalada de privilegios, escaneo de puertos y movimiento lateral.
Symantec, el mes pasado, había descubierto más de 2000 sistemas pertenecientes a 100 clientes que recibieron las actualizaciones troyanizadas de SolarWinds Orion, con objetivos seleccionados infectados con una carga útil de segunda etapa llamada Teardrop que también se usa para instalar Cobalt Strike Beacon.
«Por la forma en que se construyó Teardrop, podría haber dejado caer cualquier cosa; en este caso, dejó caer Beacon, una carga útil incluida con Cobalt Strike», dijeron los investigadores de Check Point, y señalaron que posiblemente se hizo para «dificultar la atribución».
«Mientras que Teardrop se usó en computadoras que habían sido infectadas por el troyano Sunburst original, Raindrop apareció en otra parte de la red, siendo utilizado por los atacantes para moverse lateralmente y desplegar cargas útiles en otras computadoras».
Vale la pena señalar que los atacantes usaron el malware Sunspot exclusivamente contra SolarWinds en septiembre de 2019 para comprometer su entorno de construcción e inyectar el troyano Sunburst en su plataforma de monitoreo de red Orion. Luego, el software contaminado se entregó a 18.000 de los clientes de la empresa.
El análisis de Microsoft del modus operandi de Solorigate el mes pasado encontró que los operadores eligieron cuidadosamente sus objetivos, optando por intensificar los ataques solo en un puñado de casos al implementar Teardrop basado en la información recopilada durante un reconocimiento inicial del entorno objetivo para cuentas de alto valor y activos.
Ahora Raindrop («bproxy.dll») se une a la mezcla. Si bien tanto Teardrop como Raindrop actúan como cuentagotas para Cobalt Strike Beacon, también difieren en varios aspectos.
Para empezar, Teardrop es entregado directamente por la puerta trasera inicial de Sunburst, donde Raindrop parece haber sido desplegado con el objetivo de propagarse a través de la red de las víctimas. Además, el malware aparece en redes en las que al menos una computadora ya ha sido comprometida por Sunburst, sin indicios de que Sunburst desencadenó su instalación.
Las dos cepas de malware también usan diferentes empaquetadores y configuraciones de Cobalt Strike.
Symantec no identificó a las organizaciones afectadas por Raindrop, pero dijo que las muestras se encontraron en un sistema de la víctima que ejecutaba software de administración y acceso a la computadora y en una máquina que ejecutaba comandos de PowerShell para infectar computadoras adicionales en la organización con el mismo malware.
