SUNBURST und Co.
Neues Rapid7 Update zu den SolarWinds Supply-Chain-Angriffen
SUNSPOT und neue Malware-Familienverbände
Rapid7 veröffentlicht ein neues Update über die im Dezember 2020 entdeckten SolarWinds-Lieferketten-Angriffe. Im Januar 2021 wurden neue Forschungsergebnisse veröffentlicht, die weitere tiefere Erkenntnisse über die SolarWinds-Angriffe darlegen.
Zwei aktuelle Entwicklungen verdienen dabei eine erhöhte Aufmerksamkeit:
- Eine neue eingehende Untersuchung von CrowdStrike bietet eine technische Analyse der Malware – genannt "SUNSPOT", die zum Einfügen der SUNBURST-Hintertür in SolarWinds Orion-Software-Builds verwendet wurde.
- Eine weitere neue technische Analyse von Forschern bei Kaspersky diskutiert die Entdeckung von Funktionsüberschneidungen zwischen dem SUNBURST-Malware-Code und der Kazuar-Hintertür.
Das SUNSPOT Build-In-Implantat
Am 11. Januar 2021 veröffentlichte das Security-Team von CrowdStrike eine technische Analyse zu SUNSPOT, einer neu identifizierten Art von Malware, die anscheinend im Rahmen des SolarWinds-Angriffs auf die Lieferkette verwendet wurde. CrowdStrike beschreibt SUNSPOT als "ein bösartiges Tool, das in der Build-Umgebung bereitgestellt wurde, um die SUNBURST Backdoor in die SolarWinds Orion-Plattform zu injizieren." Das SUNSPOT-Tool ist Teil der Angriffskette und verfügt über unterschiedliche Host-Indikatoren für die SUNBURST-Angriffe, einschließlich ausführbarer Dateien, Artefakte und TTPs (Taktiken, Techniken und Verfahren).
CrowdStrike bietet dabei eine gründliche Aufschlüsselung der Funktionsweise von SUNSPOT, einschließlich zahlreicher Kompromissindikatoren. Die ausführbare Datei von SUNSPOT hat den Namen taskhostsvc.exe und verfügt über ein ursprüngliches Erstellungsdatum vom 20. Februar 2020. Sie behält die Persistenz durch eine geplante Aufgabe, die beim Booten ausgeführt wird, bei und verfügt zusätzlich über SeDebugPRIVILEGE-Berechtigungen, wodurch der Speicher anderer Prozesse ausgelesen werden kann.
Mit diesem Privileg wird die MsBuild.exe (einer Visual Studio-Entwicklungskomponente) überwacht und der Zielquellcode geändert, bevor der Compiler die Möglichkeit hat ihn zu lesen. SUNSPOT sucht dann nach einer bestimmten Quellcode-Komponente der Orion-Software und ersetzt diese durch eine Variante, die SUNBURST während des Erstellungsprozesses injiziert hat. SUNSPOT verfügt auch über Validierungsprüfungen, um sicherzustellen, dass während des Erstellungsprozesses keine Erstellungsfehler ausgelöst werden, wodurch Entwickler gewarnt werden könnten. Die letzte Hälfte der CrowdStrike-Analyse enthält Details zu Taktiken, Techniken und Verfahren sowie Host-Indikatoren für diese Angriffe, ATT- und CK-Framework-Zuordnungen und YARA-Regeln für SUNSPOT.
Diese relevanten Indikatoren wurden in die Instanzen und Workflows von Rapid7 für SIEM, InsightIDR und dem Managed Detection and Response integriert.
SolarWinds hat seinen Blog mit einem Verweis auf diese neuen Informationen zu SUNSPOT aktualisiert. Da SUNSPOT, SUNBURST und verwandte Tools nicht definitiv einem bekannten Antagonisten zugeordnet werden konnten, hat CrowdStrike die für diese Eingriffe verantwortlichen Akteure „StellarParticle“ getauft.
SUNBURSTs Kazuar-Linie
Unabhängig davon veröffentlichte Kaspersky Labs ebenfalls am 11. Januar eine technische Analyse, die einen Fall für eine Verbindung zwischen der SUNBURST-Hintertür und einer anderen Backdoor namens Kazuar darstellt. Kazuar, das das Unit42-Team von Palo Alto Networks bereits im Mai 2017 erstmals als „Multiplattform-Spionage-Backdoor mit API-Zugriff“ bezeichnete, ist eine .NET-Backdoor, die laut Kaspersky mehrere „ungewöhnliche Funktionen“ mit SUNBURST zu teilen scheint. (Palo Alto brachte Kazuar bereits 2017 mit der Turla APT-Gruppe in Verbindung.)
Zu den gemeinsamen Funktionen, die Kaspersky bisher identifiziert hat, gehören die Verwendung von FNV-1a-Hashing im gesamten Kazuar- und SUNBURST-Code – ein sich ähnelnder Algorithmus zur Generierung eindeutiger Opferkennungen sowie angepasste Implementierungen eines Schlafalgorithmus, der die Verbindungen zu einem C2-Server verzögert, um diese Netzwerkaktivität weniger offensichtlich zu machen. Kaspersky hat eine vollständige, äußerst detaillierte Liste ähnlicher und unterschiedlicher Funktionen für die beiden Hintertüren aufgelistet. Kaspersky gibt nicht definitiv an, dass die beiden Hintertüren das Werk desselben Akteurs sind. Stattdessen bieten sie fünf mögliche Erklärungen für die Ähnlichkeiten, die sie zwischen Kazuar und SUNBURST festgestellt haben
- Sunburst wurde von derselben Gruppe wie Kazuar entwickelt.
- Die Sunburst-Entwickler haben einige Ideen oder Codes von Kazuar übernommen, ohne eine direkte Verbindung zu haben (sie haben Kazuar als Inspirationspunkt verwendet).
- Beide Gruppen, DarkHalo / UNC2452 und die Gruppe, die Kazuar verwendet, haben ihre Malware aus derselben Quelle bezogen.
- Einige der Kazuar-Entwickler wechselten zu einem anderen Team und nahmen Wissen und Tools mit.
- Die Sunburst-Entwickler haben diese subtilen Links als eine Form der falschen Flagge eingeführt, um die Schuld auf eine andere Gruppe zu verlagern.
Es lohnt sich also weiterhin auch ein Auge auf Kazuar zu werfen, da eine mögliche Verbindung denjenigen helfen kann, die bereits früher entsprechende Kazuar-Erkennungs- und Präventionsmethoden erfolgreich verwendet haben.