0
0
A Cisco Talos está monitorando os anúncios de ontem do FireEye e da Microsoft de que um provável ator patrocinado pelo Estado comprometeu potencialmente milhares de organizações governamentais e privadas de alto valor em todo o mundo através do produto SolarWinds Orion. FireEye informou em 8 de dezembro que havia sido comprometido em um ataque sofisticado no qual atores patrocinados pelo Estado roubaram ferramentas sensíveis da equipe vermelha. Ao investigar a violação, o FireEye e a Microsoft descobriram que o adversário obteve acesso às redes das vítimas através de atualizações trojanizadas para o software Orion da SolarWinds.
DETALHES DA ATIVIDADE DE AMEAÇAS
Em outro ataque sofisticado da cadeia de suprimentos, os adversários comprometeram as atualizações do software de monitoramento e gerenciamento de TI da SolarWinds Orion, especificamente um componente chamado “SolarWinds.Orion.Core.BusinessLayer.dll” nas versões 2019.4 HF 5 até 2020.2.1. As atualizações assinadas digitalmente foram publicadas no site da SolarWinds de março a maio de 2020. Este backdoor está sendo rastreado pelo FireEye como SUNBURST, e pode se comunicar com servidores de terceiros usando HTTP. O backdoor é carregado pelo solarwinds real executável antes do código legítimo, para não alertar a vítima de que algo está faltando.
Após um período de dormência, que pode durar até duas semanas, o backdoor pode executar comandos para transferir e executar arquivos, perfilar o sistema, reiniciar a máquina e desativar os serviços do
sistema. Observe que várias amostras sunburst foram observadas juntamente com cargas de cargas variadas, incluindo um lançador de memória apelidado de “Teardrop”, que foi então usado para implantar balizas Cobalt Strike.
adversários aproveitam privilégios administrativos obtidos durante o compromisso local de acessar a conta de administrador global da vítima e/ou certificado de assinatura de token SAML
confiável. O adversário pode forjar tokens SAML que se passam por qualquer um dos usuários e contas existentes da organização, incluindo contas altamente privilegiadas, permitindo que eles contornem a autenticação de vários fatores para serviços como o pacote Office365. Os pesquisadores de segurança observaram que os usuários-alvo são frequentemente os principais funcionários de TI e segurança. Como os tokens SAML são assinados com seu próprio certificado confiável, eles podem ser usados para fazer login em qualquer recurso local ou ambiente de nuvem, independentemente do fornecedor. O adversário também usa técnicas sofisticadas para comunicação.
O backdoor identifica seu servidor de comando e controle (C2) usando um algoritmo gerado por domínio (DGA) para construir e resolver um subdomínio de avsvmcloud[.] com, que pode usar para fornecer cargas de segunda fase e acessar ou exfiltrar dados. O tráfego de rede originário do malware aparece como tráfego legítimo do protocolo Orion e os adversários armazenam informações em arquivos legítimos de configuração de plugin, tudo fazendo com que pareça um tráfego normal de rede SolarWind. O ator define os nomes dos anfitriões em sua infraestrutura C2 para combinar nomes legítimos encontrados no ambiente da vítima. O adversário contava principalmente com endereços IP originários do mesmo país que a vítima — todos projetados para evitar a detecção.
Os resultados iniciais sugerem que a campanha começou em março de 2020 e durou vários meses.
A SolarWinds e a CISA emitiram avisos de segurança alertando para a exploração ativa do software SolarWinds Orion Platform lançado entre março e junho, e a Microsoft tem acompanhado o backdoor sunburst desde março.
IMPACTO
A SolarWinds confirmou que menos de 18.000 de seus 300.000 clientes baixaram a atualização comprometida. Ainda assim, os efeitos desta campanha são potencialmente impressionantes, com os produtos da empresa sendo utilizados por várias entidades de alto valor. As vítimas supostamente incluem agências governamentais e empresas de consultoria, tecnologia, telecomunicações e petróleo e gás na América do Norte, Europa, Ásia e Oriente Médio, de acordo com o FireEye. Vários relatórios também indicam que os departamentos do Tesouro e do Comércio dos EUA também foram alvo do que provavelmente está relacionado com a mesma atividade.
RESPOSTA
A SolarWinds emitiu um aviso de segurança recomendando que os usuários atualizem para a versão mais recente, Orion Platform versão 2020.2.1 HF 1, o mais rápido possível. Em resposta a esta atividade, em 13 de dezembro de 2020, o Departamento de Segurança Interna dos EUA (DHS) e a CISA emitiram um alerta de emergência pedindo a todas as agências civis federais dos EUA que revisem suas redes para indicadores de compromisso (IOCs) e os aconselhando a desconectar os produtos SolarWinds Orion imediatamente. A Microsoft nomeou esse ataque de “Solorigate” no Windows Defender e, juntamente com outros parceiros do setor, publicou orientações e cronogramas para essa atividade.
CISA e DHS forneceram ações e mitigações necessárias em suas assessorias
:
- Reimagem a memória do sistema e/ou sistemas operacionais hosting todas as instâncias das versões SolarWinds Orion 2019.4 até 2020.2.1 HF1, e analisar para novas contas de usuário ou serviço.
- Desconecte ou desligue os produtos SolarWinds Orion, versões 2019.4 até 2020.2.1 HF1, de sua rede.
- Identifique a existência de “SolarWinds.Orion.Core.BusinessLayer.dll” e “C:\WINDOWS\SysWOW64\netsetupsvc.dll”.
- Bloqueie todo o tráfego de e para hosts onde qualquer versão do software SolarWinds Orion foi instalada.
- Identifique e remova contas controladas por ator de ameaças e mecanismos de persistência.
- Reinicie todas as credenciais usadas pelo software SolarWinds e implemente uma política de rotação para essas contas. Exija senhas longas e complexas.
- Consulte as orientações e documentação da Microsoft sobre kerberoasting.
Pedimos a todas as organizações que usam o software de monitoramento e gerenciamento de TI da SolarWinds Orion para seguir cuidadosamente a orientação do DHS e da CISA. Também notamos que a Greve do Cobalt foi observada sendo alavancada nesses ataques. A Cisco Talos divulgou um artigo de pesquisa detalhando a grande quantidade de cobertura para a estrutura da Greve do Cobalt. Nossa cobertura pré-existente ainda é aplicável e pode detectar de forma confiável os faróis da equipe vermelha do FireEye e outras atividades.
RESPOSTA A INCIDENTES
A Cisco Talos Incident Response (CTIR) está atualmente apoiando clientes de retentor em relação ao backdoor SolarWinds Orion Sunburst. A CTIR recomenda que as organizações atualizem planos de resposta a incidentes, cartilhas ou um exercício de mesa (TTX) para testar a capacidade da organização de responder a um ataque na cadeia de suprimentos. Finalmente, uma vez que os esforços de mitigação tenham sido colocados em prática com sucesso, a CTIR recomenda uma caça à ameaça direcionada aproveitando indicadores e TTPs adversários.
COBERTURA
As maneiras pelas quais nossos clientes podem detectar e bloquear essa ameaça estão listadas abaixo.
Snort:
- SIDs 56660-56668
Para os clientes cisco que estão preocupados com potenciais impactos para os produtos Cisco, consulte o aviso PSIRT disponível aqui.
INDICADORES DE COMPROMISSO (IOCS)
Domínios:
avsvmcloud[.] comzupertech[.] com
panhardware[.] com
banco de dadosgalore[.] com
rendaupdate[.] com
highdatabase[.] com
sitetheme[.] com
freescanonline[.] comvirtualdataserver[.] com
dessegurança[.] com
thedoccloud[.] comdigitalcollege[.] org
globalnetworkissues[.] com
Hashes (SHA256):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: TALOS