De bedreigingsacteur achter het compromis van de toeleveringsketen van SolarWinds is zijn malware-arsenaal blijven uitbreiden met nieuwe tools en technieken die al in 2019 bij aanvallen werden ingezet, eens een indicatie van het ongrijpbare karakter van de campagnes en het vermogen van de tegenstander om blijvende toegang te behouden voor jaar.
Volgens cyberbeveiligingsbedrijf CrowdStrike, dat gedetailleerd de nieuwe tactieken geadopteerd door de Nobelium-hackgroep vorige week, werden twee geavanceerde malwarefamilies op slachtoffersystemen geplaatst - een Linux-variant van GoldMax en een nieuw implantaat genaamd TrailBlazer - lang voordat de omvang van de aanvallen aan het licht kwam.
Nobelium, de door Microsoft toegewezen naam voor de SolarWinds-inbraak in december 2020, wordt ook gevolgd door de bredere cyberbeveiligingsgemeenschap onder de namen UNC2452 (FireEye), SolarStorm (Unit 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) en Iron Ritual (Secureworks).
De kwaadaardige activiteiten zijn sindsdien toegeschreven aan een door de Russische staat gesponsorde acteur genaamd APT29 (ook bekend als The Dukes and Cosy Bear), een cyberspionage-operatie in verband met de Foreign Intelligence Service van het land waarvan bekend is dat ze actief is sinds ten minste 2008.
GoldMax (ook bekend als SUNSHUTTLE), dat in maart 2021 werd ontdekt door Microsoft en FireEye, is een Op Golang gebaseerde malware dat fungeert als een command-and-control-achterdeur en een beveiligde verbinding tot stand brengt met een externe server om willekeurige opdrachten uit te voeren op de gecompromitteerde machine.
In september 2021 onthulde Kaspersky details van een tweede variant van de GoldMax-achterdeur genaamd Bloed die in december 2020 en januari 2021 werd ingezet tegen verschillende overheidsorganisaties in een niet nader genoemde GOS-lidstaat.
De nieuwste iteratie is een voorheen ongedocumenteerde maar functioneel identieke Linux-implementatie van de malware van de tweede fase die medio 2019 in slachtofferomgevingen werd geïnstalleerd, en dateert van vóór alle andere geïdentificeerde voorbeelden die tot nu toe voor het Windows-platform zijn gebouwd.
Rond hetzelfde tijdsbestek werd TrailBlazer ook geleverd, een modulaire achterdeur die aanvallers een pad naar cyberspionage biedt, terwijl het gemeenschappelijkheden deelt met GoldMax in de manier waarop het zijn command-and-control (C2) -verkeer vermomt als legitieme Google Notifications HTTP-verzoeken.
Andere ongebruikelijke kanalen die door de acteur worden gebruikt om de aanvallen te vergemakkelijken, zijn onder meer:
- Credential hopping voor het verdoezelen van zijwaartse bewegingen
- Kantoor 365 (O365) Service-principal en toepassing kaping, imitatie en manipulatie, en
- Diefstal van browsercookies om multifactorauthenticatie te omzeilen
Bovendien voerden de operators meerdere gevallen van diefstal van domeinreferenties uit met een tussenpoos van maanden, waarbij elke keer gebruik werd gemaakt van een andere techniek, waaronder het gebruik van Mimikatz-wachtwoorddiefstal in het geheugen, van een reeds gecompromitteerde host om toegang voor langere tijd te garanderen.
“De StellarParticle-campagne, geassocieerd met de Cosy Bear-vijandige groep, demonstreert de uitgebreide kennis van deze dreigingsactor van Windows- en Linux-besturingssystemen, Microsoft Azure, O365 en Active Directory, en hun geduld en geheime vaardigheden om maandenlang onopgemerkt te blijven – en in sommige gevallen, jaren”, aldus de onderzoekers.
