Большой передел мира
267,090,699
522,280
|
DeC ( Профессионал ) |
| 19 янв 2021 17:19:16 |
SolarWinds
новая дискуссия Дискуссия 142
Хайповая история с взломом SolarWinds продолжается. На этот раз постарались Symantec, которые нашли очередной, уже четвертый штамм вредоноса, использованного в процессе этой кибератаки.
Исследователи назвали выявленный штамм Raindrop. По их словам, он похож на обнаруженный ранее бэкдор Teardrop и предназначен для доставки в целевую систему полезной нагрузки, в том числе Cobalt Strike Beacon.
Вместе с тем, в Raindrop есть и серьезные отличия. В то время как Teardrop доставлялся бэкдором Sunburst, то никаких свидетельств того, что новый вредонос попадает в атакованную сеть таким же образом нет. Вместе с тем, Raindrop появляется в тех сетях, где хотя бы на одной из машин уже есть Sunburst.
Действительно, судя по отчету Symantec, между Teardrop и Raindrop есть "схожесть до степени смешения" в некоторых TTPs. К примеру, крайне похожие шаблоны конфигурации (приведены в отчете). В то же время бэкдоры используют совершенно разные упаковщики.
Короче, понятно, что ничего не понятно. Если автором Raindrop и Teardrop является один актор, то зачем использовать два разных вредоноса для исполнения одной и той же задачи в одних и тех же условиях? Если это были разные хакерские группы, то почему так похожи шаблоны конфигурации вредоносов и почему Raindrop присутствовал в сетях, зараженных ранее Sunburst?
Думается, в ходе разбора взлома SolarWinds мы увидим еще немало загадок.
Исследователи назвали выявленный штамм Raindrop. По их словам, он похож на обнаруженный ранее бэкдор Teardrop и предназначен для доставки в целевую систему полезной нагрузки, в том числе Cobalt Strike Beacon.
Вместе с тем, в Raindrop есть и серьезные отличия. В то время как Teardrop доставлялся бэкдором Sunburst, то никаких свидетельств того, что новый вредонос попадает в атакованную сеть таким же образом нет. Вместе с тем, Raindrop появляется в тех сетях, где хотя бы на одной из машин уже есть Sunburst.
Действительно, судя по отчету Symantec, между Teardrop и Raindrop есть "схожесть до степени смешения" в некоторых TTPs. К примеру, крайне похожие шаблоны конфигурации (приведены в отчете). В то же время бэкдоры используют совершенно разные упаковщики.
Короче, понятно, что ничего не понятно. Если автором Raindrop и Teardrop является один актор, то зачем использовать два разных вредоноса для исполнения одной и той же задачи в одних и тех же условиях? Если это были разные хакерские группы, то почему так похожи шаблоны конфигурации вредоносов и почему Raindrop присутствовал в сетях, зараженных ранее Sunburst?
Думается, в ходе разбора взлома SolarWinds мы увидим еще немало загадок.
Отредактировано: DeC - 19 янв 2021 17:19:30
ОТВЕТЫ (1)
|
bb1788 ( Практикант ) |
| 19 янв 2021 18:32:49 |
Сообщение удалено
bb1788
19 дек 2021 09:54:30
bb1788
19 дек 2021 09:54:30
Отредактировано: bb1788 - 19 дек 2021 09:54:30