Threat Database Malware SUNBURST Malware

SUNBURST Malware

Die SUNBURST-Malware ist eine neue Bedrohung, die durch eine längere Angriffskampagne in der Lieferkette ausgelöst wurde. Die Operation läuft seit mindestens März 2020. Nach Angaben von Infosec-Forschern haben Bedrohungsakteure den Aktualisierungsmechanismus der SolarWinds Orion-Software kompromittiert und sie gezwungen, die SUNBURST-Trojaner-Bedrohung bereitzustellen.

Der Hauptanreiz von Supply-Chain-Angriffen besteht darin, dass die Hacker durch die erfolgreiche Verletzung eines Ziels Zugang zu einer großen Untergruppe potenzieller Opfer erhalten. In der Tat sind Benutzer daran gewöhnt, dass ihre Software neue Updates automatisch installiert, und werden dies nicht unbedingt beachten. Um seine Präsenz weiter zu maskieren, leitet SUNBURST seine bedrohliche Aktivität nicht sofort ein, sondern entscheidet sich dafür, sich für eine Weile auf das gefährdete System zu beschränken. Der Trojaner wurde dann vollständig gegen ausgewählte Opfer eingesetzt, an denen die Hacker großes Interesse zeigten. Bisher wurden über 2000 Computersysteme von 100 verschiedenen Entitäten als mit den Trojanisierten Software-Updates mit SUNBURST infiziert erkannt.

Die von den Cyberkriminellen verwendete Methodik umfasste die Änderung einer legitimen SolarWinds-DLL namens SolarWinds.Orion.Core.BusinessLayer.dll. Die Hacker haben der Datei OrionImprovementBusinessLayer eine neue Klasse hinzugefügt, die eine Vielzahl von Bedrohungsfunktionen auf dem gefährdeten Computer ausführen kann. Unter den Trojaner-Funktionen entdeckten Infosec-Forscher die Möglichkeit, vertrauliche Informationen zu sammeln und zu filtern, die Datei- und Registrierungssysteme zu manipulieren, auf Informationen auf Netzwerkadaptern zuzugreifen, beliebigen Code abzurufen und auszuführen, das System neu zu starten und eine Funktion, um sich selbst zu beenden.
Die von SUNBURST gesammelten Informationen sind umfangreich und vielfältig. Die Bedrohung erfasst die Domäne, den Hostnamen, den Benutzernamen, die Betriebssystemversion und die SID des Administratorkontos, während von den Netzwerkadaptern MACAddress, DHCPE aktiviert, DHCPServer, DNSHostName, IPAddress, IPSubnet, DefaultIPGateway usw. protokolliert werden.

Es ist zu beachten, dass SUNBURST mit einem Zertifikat signiert wurde, das besagt, dass es von Symantec ausgestellt wurde. Das Unternehmen stellte klar, dass es seine Zertifizierungsstelle bereits 2018 verkauft hatte und dass es sich bei dem fraglichen Zertifikat um ein Legacy-Zertifikat handelte, das immer noch den Markennamen Symantec verwendet.

SUNBURST Malware Screenshots

backdoor malware
UNC2452 lateral infection chart

Im Trend

Am häufigsten gesehen

Wird geladen...