FireEye trouve un nouveau malware qui semble être lié aux hackers de Solarwinds

0

FireEye a découvert une nouvelle « porte dérobée sophistiquée de deuxième phase » sur les serveurs d’une organisation compromise par les pirates informatiques derrière l’attaque de la chaîne d’approvisionnement de SolarWinds.

Le nouveau malware se nomme Sunshuttle, et il a été  » envoyé par une entité basée aux États-Unis sur un référentiel public de logiciels malveillants en Août 2020. »

Les chercheurs de FireEye, Lindsay Smith, Jonathan Leathery et Ben Read croient que Sunshuttle est lié aux pirates informatiques derrière l’attaque de la chaîne d’approvisionnement SolarWinds.

« Mandiant a observé SUNSHUTTLE sur une victime compromise par UNC2452, et ont des indications qu’il est lié à UNC2542, mais nous n’avons pas entièrement vérifié ce lien », a déclaré FireEye.

fireeye

Sunshuttle est un malware basé sur GO doté de capacités d’évasion de détection. À l’heure actuelle, le vecteur d’infection utilisé pour installer les portes dérobées n’est pas encore connu, mais il est « très probablement » déployé comme une porte dérobée de deuxième phase.

« La nouvelle porte dérobée SUNSHUTTLE est une porte dérobée sophistiquée de deuxième phase qui démontre des techniques d’évasion de détection simples mais élégantes grâce à ses capacités de trafic ‘intégrées’ pour les communications C2 », a ajouté FireEye.

« SUNSHUTTLE fonctionnerait comme une porte dérobée de deuxième phase dans un tel compromis pour effectuer la reconnaissance du réseau aux côtés d’autres outils liés à SUNBURST. »

5ème malware lié aux hackers de SolarWinds

Si la connexion faite par FireEye avec les hackers derrière le piratage de SolarWinds s’avère être exacte, Sunshuttle serait le quatrième malware trouvé lors de l’enquête sur l’attaque de la chaîne d’approvisionnement.

L’acteur de la menace qui a orchestré les attaques est actuellement identifié comme UNC2452 (par FireEye), StellarParticle (par CrowdStrike), SolarStorm (par Palo Alto Unit 42), et Dark Halo (par Volexity).

CrowdStrike a trouvé le malware Sunspot utilisé pour injecter des portes dérobées dans les plate-formes Orion après avoir été abandonné dans l’environnement de développement du logiciel de gestion informatique Orion de SolarWinds.

La porte dérobée Sunburst (Solorigate) a été déployé lors d’attaques de deuxième phase contre les systèmes d’organisations utilisant des builds Orion trojanisés via le mécanisme de mise à jour automatique intégré de la plate-forme.

FireEye a trouvé un troisième malware nommé Teardrop, un dropper de mémoire jusqu’alors inconnu et un outil post-exploitation utilisé par les pirates informatique pour déployer des balises Cobalt Strike personnalisées.

Le 4ème malware qui a été découveert par Symantec est Raindrop, un malware similaire à Teardrop utilisé par les pirates de SolarWinds pour livrer des balises Cobalt Strike pendant la post-exploitation.

Tout en enquêtant sur l’attaque de la chaîne d’approvisionnement, Palo Alto Networks Unit 42 et Microsoft ont découvert SuperNova, une souche de malware non liée à UNC2452 mais également livrée à l’aide de builds Orion trojanisés.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire