Logiciel malveillant Raindrop

Les chercheurs d'Infosec ont annoncé qu'ils avaient réussi à découvrir une nouvelle souche de malware déployée dans le cadre de l'attaque massive de la chaîne d'approvisionnement SolarWind. Nommée Raindrop, la menace malveillante a été utilisée pendant la phase finale de l'infection contre une poignée de victimes spécialement sélectionnées par les pirates. Les précédentes souches de logiciels malveillants documentées par les sociétés de sécurité enquêtant sur l'incident sont Sunspot, Sunburst (Solorigate) et Teardrop.

Chaque malware a joué un rôle distinct et a été affiché à un moment précis pendant l'opération menaçante. L'attaque contre SolarWinds aurait été menée à la mi-2019 lorsque l'acteur menaçant a infiltré le réseau de l'entreprise et l'a infecté avec le malware Sunspot. Sa tâche était d'attendre le bon moment avant de lancer et de modifier le processus de construction de l'application Orion de SolarWinds en injectant le malware Sunburst (Solorigate). Lorsque la version falsifiée de l'application était téléchargée sur des serveurs officiels et rendue disponible pour téléchargement, les clients de SolarWinds la téléchargeaient involontairement et permettaient au malware de s'infiltrer dans leurs propres réseaux.

Avec plus de 18 000 clients SolarWinds, les pirates ont dû déterminer quelles cibles méritaient une escalade supplémentaire de l'attaque. Pour affiner leurs choix, ils se sont appuyés sur des informations récoltées puis exfiltrées par le malware Sunburst (Solorigate). L'acteur de la menace n'a poursuivi ses opérations que sur un petit sous-ensemble de cibles, principalement des agences gouvernementales américaines, Microsoft et FireEye, une entreprise de sécurité. Sur ces victimes, Sunburst a reçu pour instruction de récupérer et de déployer le malware Teardrop, qui à son tour a exécuté les fonctions d'un chargeur qui a livré la charge utile finale - une variante de Cobalt Strike Beacon.

Raindrop - Fonctions similaires, code différent

Il semble que Teardrop n'ait pas été déployé de manière omniprésente car pour quatre cibles distinctes, les cybercriminels ont utilisé la souche Raindrop nouvellement découverte. Fonctionnellement, les deux menaces de logiciels malveillants possèdent des capacités presque identiques. Ils étaient tous deux responsables de la livraison de la charge utile Cobalt Strike Beacon, qui a ensuite permis aux pirates d'étendre leur portée à l'intérieur du réseau compromis.

L'examen du code sous-jacent révèle cependant des différences significatives. Raindrop n'a été observé que dans un format shellcode; il utilise la stéganographie qui est injectée dans des emplacements spécifiques à l'intérieur du code machine. Les techniques de cryptage, d'obfuscation et de compression sont également complètement différentes entre les deux souches. Raindrop exploite une combinaison d'une couche AES avant la décompression et d'une couche XOR après les décompressions. Pour l'obscurcissement, la menace comprend des morceaux de code non fonctionnel qui agissent comme un tampon retardant son exécution. La compression de la charge utile a été obtenue grâce à LZMA, un algorithme utilisé pour la compression de données sans perte.

Il convient de noter que, pour l'instant, il reste un mystère exactement comment Raindrop a été livré aux réseaux compromis car jusqu'à présent, il semble qu'il y soit soudainement apparu. En revanche, Teardrop a été téléchargé sur les appareils sélectionnés directement par Sunspot.