SUNBURST Malware

Por GoldSparrow em Malware

Traduzir Para:

O SUNBURST Malware é uma nova ameaça que foi entregue por meio de uma prolongada campanha de ataque à cadeia de suprimentos. A operação está acontecendo desde pelo menos março de 2020. De acordo com os pesquisadores da infosec, os agentes da ameaça comprometeram o mecanismo de atualização do software SolarWinds Orion e forçaram-no a começar a entregar a ameaça do Trojan SUNBURST.

O principal apelo dos ataques à cadeia de suprimentos é que a violação de um alvo com sucesso dará aos hackers acesso a um grande subconjunto de vítimas em potencial. Na verdade, os usuários estão acostumados a ter seu software instalando novas atualizações automaticamente e não prestarão atenção a isso necessariamente. Para mascarar ainda mais sua presença, o SUNBURST não inicia sua atividade ameaçadora imediatamente, em vez disso, opta por permanecer escondido por um tempo no sistema comprometido. O Trojan foi então totalmente implantado contra vítimas selecionadas nas quais os hackers mostraram um interesse significativo. Até agora, mais de 2.000 sistemas de computador pertencentes a 100 entidades diferentes foram detectados como infectados com as atualizações do software trojanizado que transporta o SUNBURST.

A metodologia usada pelos cibercriminosos incluiu a modificação de uma DLL SolarWinds legítima chamada SolarWinds.Orion.Core.BusinessLayer.dll. Os hackers adicionaram uma nova classe ao arquivo chamado OrionImprovementBusinessLayer, que pode executar uma ampla gama de funções de ameaça na máquina comprometida. Entre as funções do Trojan, os pesquisadores da infosec descobriram a capacidade de coletar e exfiltrar informações confidenciais, manipular os arquivos e sistemas de registro, acessar informações em adaptadores de rede, buscar e executar código arbitrário, reinicializar o sistema e uma função para encerrar a si mesmo.

As informações coletadas pelo SUNBURST são vastas e variadas. A ameaça coleta o domínio, nome do host, nome de usuário, versão do sistema operacional, SID da conta do administrador enquanto, a partir dos adaptadores de rede, registra o MACAddress, DHCPE habilitado, DHCPServer, DNSHostName, IPAddress, IPSubnet, DefaultIPGateway, etc.

Deve-se observar que SUNBURST foi assinado usando um certificado que atesta que foi emitido pela Symantec. A empresa esclareceu que vendeu sua autoridade de certificação em 2018 e que o certificado em questão era um certificado legado ainda usando a marca Symantec.