Le gouvernement fédéral trouve plus de logiciels malveillants liés à la compromission de la chaîne d'approvisionnement de SolarWinds – Un serveur de qualité


Par Jessica Davis

Selon un récent avertissement de la Cybersecurity and Infrastructure Security Agency et du Cyber ​​National Force de mission. Cyber ​​Command.

Les variantes de logiciels malveillants sont appelées SUNSHUTTLE et SOLARFLARE, qui sont attribuées au service de renseignement étranger russe. Un avertissement conjoint a été adressé à une autre agence fédérale qui a averti que des attaquants soutenus par la Russie ciblaient cinq vulnérabilités connues.

Les chercheurs fédéraux ont identifié 18 spécimens et objets malveillants associés à l'incident massif de SolarWinds qui a été révélé pour la première fois en décembre. Les échantillons analysés incluent des chevaux de Troie de porte dérobée, des téléchargeurs et des robots, entre autres menaces.

Sept des fichiers analysés sont des fichiers exécutables qui tentent de se connecter à des serveurs de commande et de contrôle codés en dur (C2) via HTTPS sur le port 443, qui attend ensuite une réponse après l'exécution.

Il existe également trois fichiers exécutables écrits en Golang et emballés via Ultimate Packer for Executables. Les chercheurs de FireEye ont identifié les variantes comme étant des logiciels malveillants SOLARFLARE. Quatre autres fichiers exécutables écrits en Golang ont été identifiés comme SUNSHUTTLE, où l'un est affiché comme fichier de configuration pour la variante.

En outre, six des fichiers malveillants étaient Visual Basic Script (VBScript), identifiés comme MISPRINT / SIBOT. Les fichiers ont été conçus pour ajouter des clés de registre Windows, puis stockés et exécutés dans un VBScript caché pour télécharger et exécuter des charges utiles malveillantes à partir du serveur C2.

Un fichier analysé a été identifié comme un composant webshell China Chopper côté serveur, observé dans un réseau avec une infection SUNSHUTTLE active. L'exploitation peut donner à un attaquant une méthode alternative pour accéder à un réseau vulnérable, même si la victime a réparé l'infection SUNSHUTTLE.

Le rapport fournit aux administrateurs réseau des analyses de tous les exécutables détectés, y compris des indicateurs de compromission.

Par exemple, un fichier exécutable Windows 64 bits écrit en Golang est conçu pour rechercher les serveurs et les redirections réseau, y compris les périphériques de sécurité réseau entre les systèmes compromis et le serveur C2.

Une fois le fichier malveillant exécuté, il tente de se connecter à son serveur C2 via le port HTTPS sur 443. Une fois connecté, il enregistre toutes les informations de requête et de réponse HTTP depuis et vers le C2 codé en dur en texte brut. Le logiciel malveillant utilise des étiquettes codées en dur pour stocker les informations de requête et de réponse dans les fichiers journaux.

Un autre exécutable Golang identifié comme F2.exe, une sortie pour un outil d'analyse environnementale similaire utilisé avec le malware SOLARFLARE / GoldFinder. La variante vérifie les fonctions réseau de l'appareil de la victime pour s'identifier comme l'hôte d'une future plateforme, SUNSHUTTLE / GoldMax.

"Lorsqu'il est exécuté, il atteint le domaine codé en dur nikeoutletinc.org via le port 443, tout en créant également un fichier dans le répertoire en cours d'exécution appelé" loglog.txt ", ont expliqué les responsables. la réponse a ajouté le fichier "loglog.txt" et la sortie exécutable. "

«Cette connexion utilise HTTPS TLSv1.2 pour le chiffrement. Après avoir conduit, f2.exe se ferme et n'a pas l'endurance nécessaire pour se conduire », ont-ils ajouté. "Cet outil est destiné à générer du trafic innocent pour stimuler l'attitude de la défense du réseau et déterminer si l'hôte infecté est capable d'accéder à Internet."

Lors de l'exécution, les attaquants utilisent un autre "finder" pour déterminer la connexion au domaine C2. Pire encore, le fichier n'a pas besoin de privilèges d'administrateur pour démarrer.

Pour réduire la menace, les chercheurs fédéraux ont exhorté les entités à examiner le rapport et à évaluer leurs systèmes pour les indicateurs de compromis. Les conseils sur les logiciels malveillants du NIST peuvent également éclairer les mesures de défense et de réponse de base pour les meilleures pratiques.

CISA a partagé des conseils sur la correction et les risques précédents pour le premier compromis SolarWinds, ainsi qu'un outil d'activité après la menace.

CISA a également formulé des recommandations concernant les mesures de sécurité nécessaires, notamment la mise à jour des signatures antivirus et des mises à jour logicielles, la désactivation des services de partage de fichiers et d'imprimantes, ou l'utilisation de l'authentification Active Directory, la restriction des autorisations d'installation ou d'exécution d'applications et l'application de politiques de mot de passe strictes à l'échelle de l'entreprise.

Comme toujours, la formation des employés sur la politique de sécurité, les menaces potentielles et les risques liés aux e-mails est un élément essentiel de tout programme de sécurité des meilleures pratiques.