Nieuwe malware van SolarWinds-hackers aangetroffen

Abonneer je gratis op Techzine!

Onderzoekers van Symantec hebben extra malware gevonden die de aanvallers achter de SolarWinds-hack hebben gebruikt. De malware hielp de aanvallers de toegang tot een geïnfecteerd netwerk uit te breiden.

De onderzoekers hebben de nieuwe malware Raindrop genoemd. Het lijkt sterk op de bestaande Teardrop-malware die de aanvallers gebruikten om geïnfecteerde machines en netwerken verder te verkennen. Raindrop werd gebruikt om de Cobalt Strike-software te verspreiden over het geïnfecteerde netwerk.

Cobalt Strike

Cobalt Strike is een softwarepakket dat gebruikt werd door pentesters. Het kan gebruikt worden om geïnfecteerde computers commando’s te laten uitvoeren, gebruikersinputs bij te houden, bestanden te kopiëren, meer rechten te krijgen en het netwerk te scannen op open poorten.

Het gebruik van Cobalt Strike kost meer dan 3000 euro per jaar, maar afgelopen jaar verscheen een deel van de broncode van de software plotseling op GitHub. Gekraakte versies van de software doen al langer online de ronde.

SolarWinds-hack

Eind vorig jaar werd het bekend dat kwaadwillenden het voor elkaar hadden gekregen om een backdoor toe te voegen aan de SolarWinds Orion. Deze IT-beheersoftware wordt door een groot aantal bedrijven en overheidsinstanties gebruikt.

Sinds de hack ontdekt is, proberen beveiligingsonderzoekers uit te vinden hoeveel schade de hack heeft aangericht. Veel onderzoekers vermoeden dat Russische staatsgesteunde hackers achter de aanval zitten. Dit baseren ze op de verfijnde manier waarop de aanval is uitgevoerd, met veel aandacht voor het wissen van sporen.