Logiciel malveillant TEARDROP

TEARDROP est l'une des menaces de logiciels malveillants exploitées dans l'attaque de la chaîne d'approvisionnement contre la plate-forme Orion de Solarwind. L'acteur de la menace a déclenché une multitude d'outils de menace différents conformément aux objectifs spécifiques de l'opération et à la cible infectée en particulier. Le malware TEARDROP, jamais vu auparavant, a agi comme un compte-gouttes de deuxième étape, chargé de fournir une charge utile de la prochaine étape - l'implant Cobalt Strike Beacon (version 4). Il convient de noter que Cobalt Strike est un outil d'accès à distance légitime conçu pour être utilisé dans les tests de pénétration. Cependant, son vaste ensemble de fonctions puissantes en a fait un élément populaire dans l'arsenal de plusieurs groupes de hackers. Cobalt Strike permet à un acteur menaçant potentiel d'établir un contrôle quasi total sur le système compromis. Le RAT (Remote Access Tool) peut être commandé pour établir des routines d'enregistrement de frappe, prendre des photos arbitraires sur le système, fournir des charges utiles nuisibles supplémentaires, manipuler le système de fichiers et exfiltrer certaines données sensibles vers des serveurs distants via des tunnels cryptés.

Structure du logiciel malveillant TEARDROP

Le compte-gouttes TEARDROP est une bibliothèque de liens dynamiques (DLL) 64 bits menaçante qui fonctionne entièrement en mémoire sans écrire de fichiers sur le disque. Il s'exécute en tant que service, génère un thread et lit les 64 premiers octets d'un fichier nommé « festive_computer.jpg ». Les données ne sont nécessaires pour rien et la menace continuera ses opérations même sans le fichier 'festive_computer.jpg '. Le nom réel du fichier peut varier, car certains chercheurs d'Infosec ont détecté d'autres versions telles que « gracious_truth.jpg ».

L'étape suivante pour le malware TEARDROP consiste à vérifier la présence de HKU \ SOFTWARE \ Microsoft \ CTF et à décoder la charge utile de la balise Cobalt Strike intégrée via un algorithme XOR personnalisé. Enfin, le compte-gouttes charge la charge utile intégrée en mémoire via un format de type PE personnalisé.

TEARDROP est étroitement lié à une autre famille de compte-gouttes observée dans la même attaque de la chaîne d'approvisionnement appelée Raindrop. Les deux menaces ont des fonctionnalités identiques et des chevauchements importants virtuellement, et elles présentent certaines différences clés. Le principal facteur de distinction entre les deux familles de logiciels malveillants est l'utilisation d'un packer différent pour Raindrop .