Threat Database Malware Software malicioso TEARDROP

Software malicioso TEARDROP

TEARDROP es una de las amenazas de malware aprovechadas en el ataque a la cadena de suministro contra la plataforma Orion de Solarwind. El actor de amenazas desató una serie de diferentes herramientas de amenaza de acuerdo con los objetivos específicos de la operación y el objetivo infectado en particular. El malware TEARDROP nunca antes visto actuó como un gotero de segunda etapa, encargado de entregar una carga útil de siguiente etapa: el implante Cobalt Strike Beacon Implant (versión 4). Cabe señalar que Cobalt Strike es una herramienta de acceso remoto legítima diseñada para ser utilizada en pruebas de penetración. Sin embargo, su vasto conjunto de potentes funciones lo han convertido en un elemento popular en el arsenal de múltiples grupos de hackers. Cobalt Strike permite que un actor de amenazas potencial establezca un control casi total sobre el sistema comprometido. Se puede ordenar a la RAT (Herramienta de acceso remoto) que establezca rutinas de registro de teclas, realice tomas arbitrarias en el sistema, entregue cargas útiles adicionales dañinas, manipule el sistema de archivos y exfiltre datos confidenciales seleccionados a servidores remotos a través de túneles cifrados.

Estructura del malware TEARDROP

El cuentagotas TEARDROP es una biblioteca de vínculos dinámicos (DLL) amenazante de 64 bits que opera en la memoria por completo sin escribir ningún archivo en el disco. Se ejecuta como un servicio, genera un hilo y lee los primeros 64 bytes de un archivo llamado ' festive_computer.jpg '. Los datos no son necesarios para nada y la amenaza continuará con sus operaciones incluso sin el archivo 'festive_computer.jpg '. El nombre real del archivo puede variar, ya que algunos investigadores de seguridad de la información han detectado otras versiones como ' gracious_truth.jpg '.

El siguiente paso para el malware TEARDROP es verificar la presencia de HKU \ SOFTWARE \ Microsoft \ CTF y decodificar la carga útil de la baliza Cobalt Strike incorporada a través de un algoritmo XOR personalizado. Finalmente, el cuentagotas carga la carga útil incorporada en la memoria a través de un formato personalizado similar a PE.

TEARDROP está estrechamente relacionado con otra familia de goteros observada en el mismo ataque a la cadena de suministro llamado Raindrop. Las dos amenazas tienen funcionalidades idénticas y superposiciones significativas virtualmente, y presentan algunas diferencias clave. El factor distintivo más importante entre las dos familias de malware es el uso de un empaquetador diferente para Raindrop .

Tendencias

Mas Visto

Cargando...