Malware SUNBURST

Por GoldSparrow en Malware

Traducir a:

SUNBURST Malware es una nueva amenaza que se ha entregado a través de una campaña prolongada de ataques a la cadena de suministro. La operación ha estado en marcha desde al menos marzo de 2020. Según los investigadores de infosec, los actores de amenazas comprometieron el mecanismo de actualización del software SolarWinds Orion y lo obligaron a comenzar a entregar la amenaza del troyano SUNBURST.

El principal atractivo de los ataques a la cadena de suministro es que violar un objetivo con éxito les dará a los piratas informáticos acceso a un gran subconjunto de víctimas potenciales. De hecho, los usuarios están acostumbrados a que su software instale nuevas actualizaciones automáticamente y no le prestarán atención necesariamente. Para enmascarar aún más su presencia, SUNBURST no inicia su actividad amenazadora de inmediato, sino que opta por permanecer bajo por un tiempo en el sistema comprometido. Luego, el troyano se implementó por completo contra víctimas seleccionadas en las que los piratas informáticos mostraron un interés significativo. Hasta ahora, se han detectado más de 2000 sistemas informáticos que pertenecen a 100 entidades diferentes como infectados con las actualizaciones de software troyanizadas que llevan SUNBURST.

La metodología utilizada por los ciberdelincuentes incluyó la modificación de una DLL de SolarWinds legítima llamada SolarWinds.Orion.Core.BusinessLayer.dll. Los piratas informáticos agregaron una nueva clase al archivo llamado OrionImprovementBusinessLayer, que podría ejecutar una amplia gama de funciones amenazantes en la máquina comprometida. Entre las funciones de los troyanos, los investigadores de infosec descubrieron la capacidad de recopilar y exfiltrar información confidencial, manipular los sistemas de registro y archivos, acceder a información en adaptadores de red, buscar y ejecutar código arbitrario, reiniciar el sistema y una función para terminar.
La información recopilada por SUNBURST es amplia y variada. La amenaza recopila el dominio, nombre de host, nombre de usuario, versión del sistema operativo, SID de la cuenta de administrador, mientras que desde los adaptadores de red, registra la dirección MAC, DHCPE habilitado, DHCPServer, DNSHostName, IPAddress, IPSubnet, DefaultIPGateway, etc.

Cabe señalar que SUNBURST se firmó con un certificado que indica que fue emitido por Symantec. La compañía aclaró que había vendido su autoridad de certificación en 2018 y que el certificado en cuestión era un certificado heredado que aún usaba la marca Symantec.