محققان امنیت سایبری چهارمین مورد جدید مخرب را کشف کردهاند که برای پخش بدافزار روی رایانههای دیگر در شبکههای قربانیان طراحی شده است که به عنوان بخشی از حمله زنجیرهای SolarWinds در اواخر سال گذشته به کار گرفته شده است.
این بدافزار که توسط سیمانتک Raindrop لقب گرفته است، به سایر ابزارهای مخرب مانند Sunspot ، Sunburst (یا Solorigate) و Teardrop که به طور پنهانی به شبکههای سازمانی تحویل داده شده بودند میپیوندد.
محققان Symantec گفتند: کشف Raindrop گام مهمی در تحقیقات ما در مورد حملات SolarWinds است زیرا اطلاعات بیشتری در مورد فعالیت در سازمانهای مورد علاقه مهاجمان فراهم میکند.
این شرکت امنیت سایبری گفت که تنها چهار نمونه از Raindrop تا به امروز کشف شده است که برای تحویل Cobalt Strike Beacon استفاده شده است. یک Memory Backdoor که قادر به اجرای دستور، ورود به سیستم، انتقال پرونده، افزایش امتیاز و اسکن پورت است.
سیمانتک ماه گذشته بیش از ۲۰۰۰ سیستم متعلق به ۱۰۰ مشتری را که بروزرسانی تروجان شده SolarWinds Orion را دریافت کرده بودند، با اهداف انتخابی آلوده به محموله مرحله دوم به نام Teardrop که برای نصب Cobalt Strike Beacon نیز استفاده میشود کشف کرده است.
در حالی که از Teardrop در رایانههایی استفاده شده بود که توسط Trojan Sunburst اصلی آلوده شده بودند، Raindrop در جای دیگری از شبکه ظاهر شد و توسط مهاجمان برای حرکت جانبی و استقرار Payloadها در رایانههای دیگر مورد استفاده قرار گرفت.
شایان ذکر است که مهاجمان از بدافزار Sunspot به طور انحصاری علیه SolarWinds در سپتامبر ۲۰۱۹ استفاده کردند تا محیط ساخت آن را به خطر بیندازند و Sunburst Trojan را به سیستم نظارت بر شبکه Orion خود تزریق کنند، سپس نرمافزار آلوده به ۱۸۰۰۰ مشتری این شرکت تحویل داده شد.
اکنون (Raindrop (bproxy.dll به ترکیب حمله میپیوندد. در حالی که هر دو بدافزار Teardrop و Raindrop به عنوان یک قطره چکان برای Cobalt Strike Beacon عمل میکنند اما از جهات مختلفی نیز متفاوت هستند.
برای شروع، Teardrop مستقیماً توسط Backdoor اولیه Sunburst تحویل داده میشود، در حالی که به نظر میرسد Raindrop با هدف گسترش در شبکه قربانیان مستقر شده باشد. علاوه بر این بدافزار در شبکههایی نشان داده میشود که حداقل یک رایانه قبلاً توسط Sunburst به خطر افتاده است، بدون اینکه نشانهای از نصب Sunburst باشد.
این دو نوع بدافزار همچنین از تنظیمات Cobalt Strike استفاده میکنند.
سیمانتک قادر به شناسایی سازمانهای تحت تأثیر Raindrop نبوده است اما گفت که این نمونهها در یک سیستم قربانی که در حال اجرای نرمافزار دسترسی و مدیریت رایانه بوده و در دستگاهی که برای اجرای دستورات PowerShell برای آلوده کردن رایانههای اضافی در سازمان با همان بدافزار کشف شده است، پیدا شدهاند.
یک نظر