zurück zum Artikel

"Sunspot" und "Raindrop": Weitere Malware der SolarWinds-Angriffskette entdeckt

Olivia von Westernhagen

(Bild: Hit1912 / Shutterstock.com)

Die Analyse der Supply-Chain-Taktik der Solarwinds-Angreifer förderte nach "Sunburst" und "Teardrop" nun noch "Sunspot" und "Raindrop" zutage.

Seit Ende vergangenen Jahres analysieren Sicherheitsforscher, -firmen und -behörden intensiv jene Supply-Chain-Angriffstaktik auf SolarWinds Orion-Software, die kriminelle Hacker erfolgreich zur Kompromittierung von Netzwerken großer Unternehmen und Behörden nutzten. In den vergangenen Wochen haben die Analysen weitere Malware-Familien zutage gefördert, die im Zuge der Angriffe verwendet wurden: Zu "Sunburst" und "Teardrop" haben sich nacheinander "Sunspot" und "Raindrop" gesellt; die analysierten Samples stammen jeweils aus dem vergangenen Jahr.

Bei Sunburst handelt es sich um jene Malware, die im Anschluss an die Kompromittierung mittels manipulierter Orion-Software-Updates den Fernzugriff auf kompromittierte Systeme via Backdoor ermöglichte.

Für einige Sunburst-Varianten hatten Microsoft und FireEye bereits Mitte Dezember 2020 einen Killswitch gebaut. [1] Die Gefahr für bereits kompromittierte Systeme hatten sie damit aber nicht gebannt: Der KiIllswitch funktionierte nur bei Sunburst-Varianten die mit einer bestimmten, von Microsoft registrierten Domain kommunizieren.

Über die Backdoor-Installation hinaus besitzt Sunburst auch die Fähigkeit, weiteren Schadcode auf das System zu schleusen. Einer Sunburst-Analyse von FireEye von Mitte Dezember 2020 [2] zufolge handelte es sich bei einer der damaligen Payloads um Teardrop. Teardrop ist seinerseits wiederum ein Dropper, der – zumindest zum Zeitpunkt der Analyse im Dezember – typischerweise eine Komponente der Software Cobalt Strike (Beacon) aus sich selbst extrahierte. Cobalt Strike ist eigentlich ein Penetration-Testing-Tool, das in diesem Falle wohl allerdings zum Ausspähen und für die Kommunikation mit den Angreifern verwendet wurde.

Malware-Analysten von Crowdstrike haben vergangene Woche einen detaillierten Blogeintrag zu Sunspot [3], einer weiteren Malware-Familie, veröffentlicht. Aktuelle Relevanz hat Sunspot nicht: Die Kriminellen nutzten die Malware offenbar im Februar 2020, nachdem sie sich Zugang zu Orions Software-Build-System verschafft hatten, als Hilfsmittel, um den Sunburst-Malware-Code in Orion-Updates zu injizieren. Die präparierten Updates wurden dann vorrangig im Zeitraum von März bis Juni 2020 an SolarWinds-Kunden verteilt.

Schon der Name der vierten Malware-Familie, Raindrop, lässt erahnen, dass es sich auch hier um einen Dropper handelt. Symantec beschreibt Raindrop in einer Analyse von vergangenem Montag [4] und vergleicht den Dropper darin auch detailliert mit Teardrop. Beide wurden Mitte vergangenen Jahres im Anschluss an die Sunburst-Backdoor-Installation verwendet, um Cobalt Strike Beacon nachzuladen, allerdings in unterschiedlicher Konfiguration. Allerdings weisen sie Unterschiede etwa im Hinblick auf Tarnmechanismen und die Einbettung und Verschlüsselung der Payload im eigenen Code auf.

Der wichtigste Unterschied laut Symantec: Während Teardrop jeweils auf den Computern verwendet wurde, auf denen zuvor Sunburst installiert worden war, diente Raindrop offenbar vor allem dazu, die Payload auf anderen Systemen im Netzwerk zu installieren und somit die Reichweite der Angreifer auszudehnen.

Weitere Informationen für Interessierte und Betroffene wie Indicators of Compromise oder auch spezielle YARA [5]-Regeln sind den verlinkten Analysen zu entnehmen. Sie machen deutlich, dass Sunburst sozusagen das Zentrum der vier bislang bekannten Malware-Familien bildet: Der Schadcode hat den Angreifern "die Tür geöffnet" und hält diese Tür auf manchem System womöglich noch immer auf.

Wie relevant die Malware für die Angreifer zum jetzigen Zeitpunkt tatsächlich noch ist, ist unklar: Forscher wiesen bereits im Dezember darauf hin, dass die Gruppe angesichts der unterbrochenen Supply-Chain und dem Bekanntwerden der Sunburst-Details schnell zu anderen Strategien übergegangen sei, um sich dauerhaften Backdoor-Zugriff auf kompromittierte Systeme zu sichern. Unlängst wurde zudem ein neuer initialer Angriffsweg abseits von der Orion-Software [6] bekannt. Das unterstreicht die Flexibilität der Kriminellen und zeigt, dass weiterhin eine große Gefahr von ihnen ausgeht – auch für Unternehmen, die bislang nicht betroffen waren.

(ovw [7])


URL dieses Artikels:
https://www.heise.de/-5030754

Links in diesem Artikel:
[1] https://www.heise.de/news/SolarWinds-FireEye-Microsoft-GoDaddy-bauen-Killswitch-fuer-Sunburst-Malware-4992428.html
[2] https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
[3] https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/
[4] https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-raindrop-malware
[5] https://www.heise.de/ratgeber/Malware-Signaturen-mit-Yara-selbst-schreiben-4286169.html
[6] https://www.heise.de/news/Attacken-per-SolarWinds-Alternative-Angriffswege-zu-manipulierten-Orion-Updates-5030438.html
[7] mailto:ovw@heise.de