Raindrop Malware

Los investigadores de Infosec anunciaron que han logrado descubrir una nueva cepa de malware implementada como parte del ataque masivo a la cadena de suministro de SolarWind. Con el nombre de Raindrop, la amenaza de malware se utilizó durante la fase final de la infección contra un puñado de víctimas especialmente seleccionadas por los piratas informáticos. Las cepas de malware anteriores documentadas por las empresas de seguridad que investigan el incidente son Sunspot, Sunburst (Solorigate) y Teardrop.

Cada malware desempeñó un papel distinto y se mostró en un momento específico durante la operación amenazante. Se cree que el ataque contra SolarWinds se llevó a cabo a mediados de 2019 cuando el actor de amenazas se infiltró en la red de la empresa y la infectó con el malware Sunspot. Su tarea era esperar el momento adecuado antes de iniciar y modificar el proceso de compilación de la aplicación Orion de SolarWinds inyectando el malware de siguiente etapa Sunburst (Solorigate). Cuando la versión manipulada de la aplicación se cargaba en los servidores oficiales y estaba disponible para su descarga, los clientes de SolarWinds la descargaban sin saberlo y permitían que el malware se infiltrara en sus propias redes.

Con más de 18.000 clientes de SolarWinds, los piratas informáticos tuvieron que determinar qué objetivos eran dignos de una mayor escalada del ataque. Para reducir sus opciones, se basaron en la información recopilada y luego exfiltrada por el malware Sunburst (Solorigate). El actor de amenazas continuó su operación solo en un pequeño subconjunto de objetivos, principalmente agencias gubernamentales de EE. UU., Microsoft y FireEye, una empresa de seguridad. En esas víctimas, Sunburst recibió instrucciones de buscar e implementar el malware de la siguiente etapa Teardrop, que a su vez realizó las funciones de un cargador que entregó la carga útil final: una variante de Cobalt Strike Beacon.

Raindrop: funciones similares, código diferente

Parece que Teardrop no se implementó de forma ubicua en cuanto a cuatro objetivos distintos, los ciberdelincuentes utilizaron la cepa Raindrop recién descubierta. Funcionalmente, las dos amenazas de malware poseen capacidades casi idénticas. Ambos fueron responsables de entregar la carga útil Cobalt Strike Beacon, que luego permitió a los piratas informáticos expandir su alcance dentro de la red comprometida.

Sin embargo, mirar el código subyacente revela diferencias significativas. Raindrop se ha observado sólo en formato shellcode; utiliza esteganografía que se inyecta en ubicaciones específicas dentro del código de la máquina. Las técnicas de cifrado, ofuscación y compresión también son completamente diferentes entre las dos cepas. Raindrop aprovecha una combinación de una capa AES antes de la descompresión y una capa XOR después de las descompresiones. Para la ofuscación, la amenaza incluye fragmentos de código no funcional que actúan como un búfer que retrasa su ejecución. La compresión de la carga útil se logró mediante LZMA, un algoritmo utilizado para la compresión de datos sin pérdidas.

Cabe señalar que, por ahora, sigue siendo un misterio exactamente cómo se entregó Raindrop a las redes comprometidas, ya que hasta ahora, parece que de repente apareció allí. Por el contrario, Sunspot descargó Teardrop directamente en los dispositivos seleccionados.