Обнаружена дополнительная инфраструктура, использовавшаяся в атаках SolarWinds

Пт 23 Апрель 2021 05:36

Хакерская операция SolarWinds, о которой стало известно в декабря 2020 года, отличается высокой сложностью и огромным набором тактик, используемых злоумышленниками для проникновения и сохранения постоянства в инфраструктуре атакуемых организаций. Специалисты Microsoft охарактеризовали стоящих за атаками киберпреступников как «квалифицированных и методичных операторов, следующим передовым методам обеспечения безопасности операций (OpSec) для того, чтобы минимизировать следы, оставаться вне поля зрения и избежать обнаружения».

Еще одним подтверждением высокой квалификации хакеров стал новый отчет ИБ-компании RiskIQ. По данным исследователей, киберпреступники тщательно планировали каждый этап атаки во избежание создания шаблонов. Избегая шаблонов, хакеры затруднили отслеживание вредоносной активности и усложнили криминалистическую экспертизу.

Анализируя телеметрические данные, связанные с опубликованными ранее индикаторами компрометации, исследователи обнаружили дополнительный набор из 18 серверов, использовавшийся для связи с вторичной полезной нагрузкой Cobalt Strike, доставляемой вредоносным ПО TEARDROP и RAINDROP.

«Скрытые паттерны» были выявлены в процессе анализа использовавшихся киберпреступниками SSL-сертификатов.

Правительство США возложило ответственность за атаки на хакерскую группировку APT29. Тем не менее, различные ИБ-компании отслеживают киберпреступную группировку под разными названиями, в том числе UNC2452 (FireEye), Nobelium (Microsoft), SolarStorm (Unit 42), StellarParticle (Crowdstrike) и Dark Halo (Volexity). Специалисты ссылаются на различия в тактиках, техниках и процедурах (TTP), использовавшихся в атаках SolarWinds, и TTP известных киберпреступных группировок, в том числе. APT29.

«Исследователи или продукты, настроенные на обнаружение известной активности APT29, не смогут распознать кампанию в том виде, в каком она происходит. Вот почему мы так мало знали о более поздних этапах кампании SolarWinds», - пояснил директор RiskIQ по анализу угроз Кевин Ливелли (Kevin Livelli).

Как ранее в нынешнем году отметили специалисты Microsoft, злоумышленники приложили все усилия, чтобы первоначальный бэкдор (SUNBURST, он же Solorigate) и закладки после компрометации (TEARDROP и RAINDROP) оставались максимально разделенными, и их вредоносная активность не была обнаружена. Это было сделано для того, чтобы в случае обнаружения имплантов Cobalt Strike в сетях жертвы скомпрометированный двоичный файл SolarWinds и атака на цепочку поставок оставались незамеченными.

Как пояснил Ливелли, выявление следов инфраструктуры злоумышленников обычно включает в себя сопоставление IP-адресов и доменов с известными вредоносными кампаниями с целью выявления закономерностей. «Однако как показывает наш анализ, группировка приняла меры, чтобы сбить исследователей с их следа», - сообщил исследователь.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 133 дня 9 часов 42 минуты 11 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.