🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Consultivo
Inteligência adversáriaAtor de ameaça
UNC2452 [rastreador de campanha]Vetor
Cadeia de suprimentosFornecedor
Ventos solaresUm sofisticado ator de ameaças apelidado UNC2452 comprometeu um dos módulos do sistema de monitoramento e gerenciamento de TI SolarWinds Orion. Eles plantaram um backdoor [Sunburst] especificamente na DynamicLinkedLibrary chamado SolarWinds.Orion.Core.BusinessLayer.dll, carregado pelos seguintes executáveis.NET [com base na configuração do sistema]:- SolarWinds.BusinessLayerHost.exe
- SolarWinds.BusinessLayerHostx64.exe.
Comando e Controle (C2)
As comunicações C2 são incorporadas com segurança como parte do protocolo de comunicação da SolarWinds, chamado Orion Improvement Program Protocol, para evitar a segurança e como parte da segurança operacional. O domínio usado para C2 é avsvmcloud.comUm algoritmo de geração de domínio é usado para construir e resolver o subdomínio de avsvmcloud.com O malware elimina os serviços forenses e de segurança em execução no sistema de destino, usando uma lista de bloqueios. A lista de bloqueios contém uma lista de serviços vinculados a fornecedores de AV/EDR/XDR e outras ferramentas relacionadas à perícia. A carga útil se conecta ao servidor C2 após a conexão com o domínio api.solarwinds.com é estabelecido. Os subdomínios são vinculados a um dos seguintes domínios para criar um nome de host a ser resolvido:- .appsync-api.eu-west-1 [.] avsvmcloud [.] com
- .appsync-api.us-west-2 [.] avsvmcloud [.] com
- .appsync-api.us-east-1 [.] avsvmcloud [.] com
- .appsync-api.us-east-2 [.] avsvmcloud [.] com
Técnicas e táticas MITRE
Técnica
Táticas
Desenvolvimento de recursosT1584Comprometa a infraestruturaAcesso inicialT1195,002Comprometa a cadeia de suprimentos de softwareExecuçãoT1569,002Execução do serviçoEscalonamento de persistência/privilégiosT1543,003Serviço do WindowsEvasão de defesaT1027Arquivos ou informações ofuscadosT1070,004Exclusão de arquivoT1553,002Assinatura de códigoDescobertaT1012Registro de consultasT1057Descoberta de processosT1083Descoberta de arquivos e diretóriosT1518Descoberta de softwareT1518.001Descoberta de software de segurançaComando e controleT1071,001Protocolos da WebT1071,004Protocolo da camada de aplicação: DNST1105Transferência de ferramentas de entradaT1132,001Codificação padrãoT1568,002Algoritmos de geração deImpacto
Impacto técnico
- Torna os sistemas de segurança inúteis
- Comprometer o domínio da rede
- Persistência totalmente indetectável na vítima
Impacto nos negócios
- Compromete os dados e a privacidade do usuário
- Perda de reputação e boa vontade
- Perda do valor das ações
- Violações de conformidade e multa
- Ações legais dos clientes
Indicadores de compromisso
Hashes/ SHA256
- d0d626deb3f9484e649294a8dfa814c5568f846d5aa02d4cdad5d041a29d5600
- 53f8dfc65169ccda021b72a62e0c22a4db7c4077f002fa742717d41b3c40f2c7
- 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134
- ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6
- 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77
- 292327e5c94afa352cc5a02ca273df543f2020d0e76368ff96c84f4e90778712
- C15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71
IP
- 13,59,205,66
- 54,193,127,66
- 54,215,192,52
- 34,203,203,23
- 139,99,115,204
- 5,252,177,25
- 5,252,177,21
- 204,188,205,176
- 51,89,125,18
- 167,114,213,199
Mitigação
- Contenha/isole os servidores SolarWinds para uma investigação mais aprofundada
- Restrinja a saída da Internet de servidores ou endpoints que sejam servidores SolarWinds
- Supervisão da conta privilegiada nos servidores SolarWind
- As regras efetivas para detecção são fornecidas no link abaixo:
