Raindrop Malware

Infosec-Forscher gaben bekannt, dass es ihnen gelungen ist, einen neuen Malware-Stamm aufzudecken, der im Rahmen des massiven SolarWind-Supply-Chain-Angriffs eingesetzt wurde. Die Malware-Bedrohung mit dem Namen Raindrop wurde in der Endphase der Infektion gegen nur eine Handvoll Opfer eingesetzt, die speziell von den Hackern ausgewählt wurden. Die früheren Malware-Stämme, die von den Sicherheitsfirmen, die den Vorfall untersuchen, dokumentiert wurden, sind Sunspot, Sunburst (Solorigate) und Teardrop.

Jede Malware spielte eine bestimmte Rolle und wurde zu einem bestimmten Zeitpunkt während des Bedrohungsvorgangs angezeigt. Es wird angenommen, dass der Angriff gegen SolarWinds Mitte 2019 durchgeführt wurde, als der Bedrohungsakteur das Netzwerk des Unternehmens infiltrierte und es mit der Sunspot-Malware infizierte. Seine Aufgabe bestand darin, auf den richtigen Moment zu warten, bevor der Build-Prozess der SolarWinds Orion-App durch Injizieren der Sunburst-Malware (Solorigate) der nächsten Stufe gestartet und geändert wird. Wenn die manipulierte Version der Anwendung auf offizielle Server hochgeladen und zum Download bereitgestellt wurde, luden die SolarWinds-Clients sie unabsichtlich herunter und ließen die Malware in ihre eigenen Netzwerke eindringen.

Mit über 18.000 SolarWinds-Clients mussten die Hacker ermitteln, welche Ziele für eine weitere Eskalation des Angriffs geeignet waren. Um ihre Auswahl einzugrenzen, stützten sie sich auf Informationen, die von der Sunburst-Malware (Solorigate) geerntet und dann exfiltriert wurden. Der Bedrohungsakteur setzte seine Tätigkeit nur für eine kleine Teilmenge von Zielen fort, hauptsächlich für US-Regierungsbehörden, Microsoft und FireEye, eine Sicherheitsfirma. Bei diesen Opfern wurde Sunburst angewiesen, die Malware Teardrop der nächsten Stufe abzurufen und bereitzustellen, die wiederum die Funktionen eines Laders ausführte, der die endgültige Nutzlast lieferte - eine Cobalt Strike Beacon-Variante.

Regentropfen - ähnliche Funktionen, unterschiedlicher Code

Es scheint, dass Teardrop nicht allgegenwärtig eingesetzt wurde, da für vier verschiedene Ziele die Cyberkriminellen den neu entdeckten Regentropfenstamm verwendeten. Funktionell verfügen die beiden Malware-Bedrohungen über nahezu identische Funktionen. Sie waren beide für die Bereitstellung der Cobalt Strike Beacon-Nutzlast verantwortlich, wodurch die Hacker ihre Reichweite innerhalb des gefährdeten Netzwerks erweitern konnten.

Ein Blick auf den zugrunde liegenden Code zeigt jedoch signifikante Unterschiede. Raindrop wurde nur in einem Shellcode-Format beobachtet. Es verwendet Steganographie, die an bestimmten Stellen im Maschinencode injiziert wird. Die Verschlüsselungs-, Verschleierungs- und Komprimierungstechniken unterscheiden sich auch vollständig zwischen den beiden Stämmen. Raindrop Malware nutzt eine Kombination aus einer AES-Schicht vor der Dekomprimierung und einer XOR-Schicht nach der Dekomprimierung. Zur Verschleierung umfasst die Bedrohung Teile nicht funktionierenden Codes, die als Puffer fungieren und die Ausführung verzögern. Die Nutzlastkomprimierung wurde durch LZMA erreicht, einen Algorithmus zur verlustfreien Datenkomprimierung.

Es sollte beachtet werden, dass es vorerst ein Rätsel bleibt, wie Raindrop Malware genau an die kompromittierten Netzwerke geliefert wurde, so weit es scheint, dass es plötzlich dort auftauchte. Im Gegensatz dazu wurde Teardrop von Sunspot direkt auf die ausgewählten Geräte heruntergeladen.