Фахівці з Symantec (підрозділи Broadcom) виявили нову шкідливу програму, яка використовувалася хакерами підчас атак на розробника ПЗ SolarWinds.
Інструмент, що отримав назву Raindrop, являє собою завантажувач маяків Cobalt Strike. Raindrop має велику схожість з уже відомим інструментом Teardrop, але між ними є деякі ключові відмінності. Хоча Teardrop був доставлений за допомогою бекдора Sunburst, Raindrop, схоже, використовувався для поширення по мережі жертви. На сьогоднішній день Symantec не виявлено свідоцтв того, що Raindrop доставляється безпосередньо через Sunburst .
Бекдор Sunburst був встановлений на двох комп’ютерних системах однієї з жертв в результаті атаки на ланцюжок поставок SolarWinds. На наступний день на одному з цих комп’ютерів був встановлений Teardrop. На цьому комп’ютері був виявлений інструмент для здійснення запитів в активний каталог, а також дампер облікових даних, розроблений спеціально для баз даних SolarWinds Orion.
Одинадцять днів по тому на третьому комп’ютері жертви в організації, де раніше не спостерігалося шкідливої активності, була встановлена копія Raindrop під назвою bproxy.dll. На комп’ютері було запущено програмне забезпечення для доступу до системи і управління нею. Зловмисники могли використовувати це програмне забезпечення для доступу до будь-якого з комп’ютерів скомпрометованої організації. Через годину шкідлива програма Raindrop встановила додатковий файл під назвою “7z.dll”. Експертам не вдалося отримати цей файл, проте через декілька годин легітимна версія 7zip була використана для отримання копії того, що виглядало як внутрішні компоненти служб каталогів (DSInternals), на комп’ютер. DSInternals – легітимний інструмент для запиту серверів Active Directory і отримання даних, зазвичай паролів, ключів або хеш паролів.
Виявлення шкідливого ПЗ
Пізніше зловмисники встановили на цей комп’ютер додатковий інструмент під назвою mc_store.exe, що представляє собою невідомий додаток PyInstaller. Ніякої подальшої активності на цьому комп’ютері не спостерігалося.
Raindrop схожий на Teardrop в тому, що обидва шкідливих ПЗ діють в ролі завантажувачів маяків Cobalt Strike.
Хоча обидва сімейства шкідливих програм призначені для розгортання маяків Cobalt Strike, існують відмінності в конфігурації Cobalt Strike. На сьогоднішній день Symantec виявила чотири зразки Raindrop. У трьох випадках Cobalt Strike був налаштований на використання HTTPS в якості протоколу зв’язку. У четвертому він був налаштований на використання SMB Named Pipe як протокол зв’язку.
Всі три зразки Raindrop, що використовують зв’язок HTTPS, слідують шаблонами конфігурації, подібним з одним з раніше виявлених зразків Teardrop.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як використовувати “Швидкі команди” на Apple Watch? – ІНСТРУКЦІЯ
Як змінити обліковий запис Google за замовчуванням на комп’ютері? – ІНСТРУКЦІЯ
Як використовувати Google Duo для здійснення відеодзвінків? – ІНСТРУКЦІЯ
Як додавати, редагувати або видаляти збережені паролі в Microsoft Edge? – ІНСТРУКЦІЯ
Нагадаємо, американське розвідувальне співтовариство офіційно звинувачує російських хакерів у зламі SolarWinds. Підозрюють, що російські хакери, які фінансуються державою, зламали ІТ-компанію SolarWinds, яку вони потім використали як стартовий майданчик для проникнення в кілька урядових відомств США
Також дослідники з безпеки виявили нову родину програм-вимагачів, яка націлилася на корпоративні мережі, та попередили, що професійні кіберзлочинці вже вдарили по декількох організаціях за допомогою схеми шифрування файлів.
Окрім цього, браузер Edge буде постійно звіряти інформацію з базами даних про розсекречені логіни і паролі – користувачі отримуватимуть інформацію у разі виявлення діяльності з боку кібершахраїв. Також власникам пристроїв надаватимуть поради, що дозволяють змінити конфіденційні дані з метою збереження високого рівня безпеки.
За останніми даними, один із найбезпечніших месенджерів Signal набуває популярності як в Україні, так і в США. Навіть Ілон Маск підтримав хвилю популярності і порадив користуватися Signal у себе в Твіттері. У чому його переваги, читайте у статті.