El grupo de amenazas detrás del ataque a la cadena de suministro que apuntó a SolarWinds aprovechó una pieza de malware llamada Raindrop para el movimiento lateral y la implementación de cargas útiles adicionales.
En tanto, se han suscitado una serie de ataques dirigidos a dispositivos NAS de TerraMaster (CVE-2020-28188) y Liferay CMS (CVE-2020-7961) en un intento por difundir el bot IRC N3Cr0m0rPh y la criptomoneda Monero, el responsable de esto es el malware FreakOut.
Los nuevos peligros
Investigadores de Check Point, descubrieron a FreakOut en una campaña que explota vulnerabilidades reveladas recientemente en dispositivos Linux para incorporar los sistemas a una botnet IRC para lanzar ataques distribuidos de denegación de servicio (DDoS) y extraer la criptomoneda Monero.
El malware aprovecha fallas recientemente parchadas en TerraMaster, Laminas Project (anteriormente Zend Framework) y Liferay Portal.
Además, la firma Symantec identificó otra cepa de malware que se utilizó durante el ataque a la cadena de suministro de SolarWinds, lo que eleva el número total a cuatro, después de Sunspot, Sunburst (Solorigate) y Teardrop. Con el nombre de Raindrop, Symantec dijo que el malware se usó solo durante las últimas etapas de una intrusión, implementado solo en las redes de muy pocos objetivos seleccionados.
Capacidades
FreakOut primero intenta ejecutar diferentes sintaxis de los comandos del sistema operativo para descargar y ejecutar un script de Python llamado «out.py». Después de que el script se descarga y se le otorgan permisos (usando el comando «chmod»), el atacante intenta ejecutarlo usando Python 2.
El malware también viene con amplias capacidades que le permiten realizar varias tareas, incluido el escaneo de puertos, la recopilación de información, la creación y el envío de paquetes de datos, el rastreo de redes y DDoS e inundaciones.
Por su parte, Raindrop es similar a Teardrop en que ambas piezas de malware actúan como un cargador de Cobalt Strike Beacon. Raindrop parece haber sido implementado con el objetivo de extenderse por la red de víctimas. Además, el malware aparece en redes donde Sunburst ya ha comprometido al menos una computadora, sin indicios de que Sunburst haya activado su instalación.
El malware se compila como una DLL, que se crea a partir de una versión modificada del código fuente de 7-Zip. El código 7-Zip no se utiliza y está diseñado para ocultar funciones maliciosas agregadas por los atacantes.
El origen
Apodado «FreakOut» por los investigadores de CheckPoint, derivado del nombre Freak, el nombre del autor del código, el bot se activó en noviembre de 2020 y ha estado funcionando desde entonces con 300 usuarios actuales y cinco canales. Un canal activo llamado #update incluye 186 dispositivos explotados que se comunican con el servidor IRC.
Raindrop es similar a Teardrop en que ambas piezas de malware actúan como un cargador de Cobalt Strike Beacon. Raindrop usa un empacador personalizado para empacar Cobalt Strike. Este empaque es diferente al que usa Teardrop. El malware se suma a otros implantes maliciosos como Sunspot , Sunburst (o Solorigate) y Teardrop, que amenazan a las redes empresariales.
Con respecto a FreakOut para mantener un grado de seguridad es importante mantener las actualizaciones activas. Por su parte, se espera que TerraMaster parchee la vulnerabilidad en la versión 4.2.07. Mientras tanto, se recomienda que los usuarios actualicen a Liferay Portal 7.2 CE GA2 (7.2.1) o posterior y laminas-http 2.14.2 para mitigar el riesgo asociado con las fallas.
La mitigación contra Raindrop se efectuará en las máquinas que ejecutan productos de protección Endpoint.