Twitter
Twitter
Facebook
Kaspersky Partner
Twitter
Facebook
Kaspersky Partner

Virus

Malware Vs Backdoor #Sunburst / #UNC2452 / DarkHalo – (la faille SolarWinds) | Backdoor.MSIL.Sunburst* / Trojan.MSIL.Sunburst* ?


vendredi 18 décembre 2020

Le 13 décembre 2020, FireEye a annoncé avoir découvert une campagne d’intrusion par le biais d’une compromission de mise à jour de la plateforme de gestion et de supervision Orion de SolarWinds. Cette plate-forme a servi de vecteur pour une attaque par la chaîne d’approvisionnement (supply chain attack). Les mises à jour ont été altérées afin d’inclure un maliciel appelé SUNBURST [1]. Le code malveillant permet à l’attaquant d’exécuter du code à distance et d’exfiltrer des données.
L’éditeur confirme que certaines versions de son produit ont été altérées et a publié un avis afin de fournir toutes les informations pour que les utilisateurs puissent sécuriser leurs installations [2].
D’après FireEye, la campagne aurait commencé au printemps 2020 et continuerait actuellement. FireEye a mis à disposition des signatures de détection (cf [3]) pour ce maliciel.

Customer Guidance on Recent Nation-State Cyber Attacks

La cyberattaque, qui a commencé à être exploitée au printemps dernier, a visé de nombreuses entités de l’administration américaine, outre des organisations publiques et privées à travers le monde. Potentiellement attribuée à la Russie, il s’agirait de l’une des plus inquiétantes identifiées depuis des années.

Une cyberattaque d’envergure touche par ricochet les réseaux de nombreuses administrations et de grandes entreprises dans le monde entier, dont le géant Microsoft.

Sunburst : Microsoft concède faire partie des victimes, les autres se murent dans le silence

Sunburst: connecting the dots in the DNS requests

  1. Who is behind this attack? I read that some people say APT29/Dukes?
  2. I use Orion IT! Was I a target of this attack?
  3. Was this just espionage or did you observe destructive activities, such as ransomware?
  4. How many victims have been identified?
  5. What are the most affected countries?
  6. Why are you calling this an attack, when it’s just exploitation? (CNA vs CNE)
  7. Out of the 18,000 first stage victims, how many were interesting to the attackers?
  8. Why didn’t you catch this supply chain attack in the first place?
  9. What is Teardrop?
  10. What made this such a successful operation?

Les bons réflexes en cas d’intrusion sur un système d’information.


[MaJ] Présence de code malveillant dans SolarWinds Orion / Version du 23 décembre 2020 – remplace les versions précédentes

Le CERT-FR recommande fortement :

  • de vérifier si la version utilisée est affectée. Si c’est le cas, l’éditeur recommande de déconnecter les serveurs et considérer que le système d’information a pu être compromis dans son ensemble. En effet, il s’agit ici d’un logiciel légitime contenant une porte dérobée malveillante.
  • de réaliser, dans la mesure du possible, une image des disques et de la mémoire des serveurs hébergeant le produit Orion, cela à titre conservatoire pour recherche postérieure.
  • de prendre connaissance des marqueurs tenus à jour par l’US-CERT concernant SUNBURST [8].
  • de prendre connaissance des marqueurs concernant SUPERNOVA [6].
  • d’inventorier toutes les machines supervisées par SolarWinds Orion afin de les analyser en priorité.
  • de procéder à des recherches de compromissions au sein du système d’information en privilégiant les marqueurs réseau puis les indicateurs de compromission ‘système’. Microsoft a notamment centralisé la documentation sur les aspects techniques liés à cette compromission [9].
  • de contrôler les potentielles modifications au niveau des annuaires Active Directory et notamment l’ajout de privilèges élevés à des comptes [10] ou l’ajout d’approbations entre domaines ou forêts [11].
  • de contrôler l’utilisation anormale de jetons SAML notamment avec les plates-formes Office365/Azure AD.
  • de mettre à jour la solution Orion vers la version 2019.4 HF6 ou 2020.2.1 HF2.

Pour rappel, le CERT-FR a publié un guide à suivre en cas d’intrusion [5].

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.


23.12.20 – How we ( Kaspersky ) protect our users against the Sunburst backdoor

The detection logic has been improved in all our solutions to ensure that our customers remain protected. We continue to investigate this attack using our Threat Intelligence and we will add additional detection logic once they are required.

Our products protect against this threat and detect it with the following names:

  • Backdoor.MSIL.Sunburst.a
  • Backdoor.MSIL.Sunburst.b
  • HEUR:Trojan.MSIL.Sunburst.gen
  • HEUR:Backdoor.MSIL.Sunburst.gen
  • Backdoor.MSIL.Sunburst.b

…/…

Lire l’intégralité de l’article sur :


28.12.20 – Vulnérabilité dans SolarWinds Orion API

  • Une vulnérabilité a été découverte dans l’API Orion de SolarWinds. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
    • SolarWinds Orion API version 2020.2.1 sans le correctif HF 2 (publié le 15 Décembre 2020)
    • SolarWinds Orion API version 2019.4 sans le correctif HF 6 (publié le 14 Décembre 2020)
    • SolarWinds Orion API version 2019.2 sans le correctif SUPERNOVA Patch (publié le 23 Décembre 2020)
    • SolarWinds Orion API version 2018.4 sans le correctif SUPERNOVA Patch (publié le 23 Décembre 2020)
    • SolarWinds Orion API version 2018.2 sans le correctif SUPERNOVA Patch (publié le 23 Décembre 2020)

11.01.21 – Sunburst backdoor – code overlaps with Kazuar

On December 13, 2020, FireEye published a blog post detailing a supply chain attack leveraging Orion IT, an infrastructure monitoring and management platform by SolarWinds. In parallel, Volexity published an article with their analysis of related attacks, attributed to an actor named “Dark Halo”. FireEye did not link this activity to any known actor; instead, they gave it an unknown, temporary moniker – “UNC2452”.

This attack is remarkable from many points of view, including its stealthiness, precision targeting and the custom malware leveraged by the attackers, named “Sunburst” by FireEye.

In a previous blog, we dissected the method used by Sunburst to communicate with its C2 server and the protocol by which victims are upgraded for further exploitation. Similarly, many other security companies published their own analysis of the Sunburst backdoor, various operational details and how to defend against this attack. Yet, besides some media articles, no solid technical papers have been published that could potentially link it to previously known activity.

…/…

Malware Vs Backdoor #Sunburst / #UNC2452 / DarkHalo – (la faille SolarWinds) | Backdoor.MSIL.Sunburst* / Trojan.MSIL.Sunburst* ?

Le 13 décembre 2020, FireEye a annoncé avoir découvert une campagne d’intrusion par le biais d’une compromission de mise à jour de la plateforme de gestion et de supervision Orion de SolarWinds. Cette plate-forme a servi de vecteur pour une attaque par la chaîne d’approvisionnement (supply chain attack). Les mises à jour ont été altérées afin d’inclure un maliciel appelé SUNBURST [1]. Le code malveillant permet à l’attaquant d’exécuter du code à distance et d’exfiltrer des données.
L’éditeur confirme que certaines versions de son produit ont été altérées et a publié un avis afin de fournir toutes les informations pour que les utilisateurs puissent sécuriser leurs installations [2].
D’après FireEye, la campagne aurait commencé au printemps 2020 et continuerait actuellement. FireEye a mis à disposition des signatures de détection (cf [3]) pour ce maliciel.

Customer Guidance on Recent Nation-State Cyber Attacks

La cyberattaque, qui a commencé à être exploitée au printemps dernier, a visé de nombreuses entités de l’administration américaine, outre des organisations publiques et privées à travers le monde. Potentiellement attribuée à la Russie, il s’agirait de l’une des plus inquiétantes identifiées depuis des années.

Une cyberattaque d’envergure touche par ricochet les réseaux de nombreuses administrations et de grandes entreprises dans le monde entier, dont le géant Microsoft.

Sunburst : Microsoft concède faire partie des victimes, les autres se murent dans le silence

Sunburst: connecting the dots in the DNS requests

  1. Who is behind this attack? I read that some people say APT29/Dukes?
  2. I use Orion IT! Was I a target of this attack?
  3. Was this just espionage or did you observe destructive activities, such as ransomware?
  4. How many victims have been identified?
  5. What are the most affected countries?
  6. Why are you calling this an attack, when it’s just exploitation? (CNA vs CNE)
  7. Out of the 18,000 first stage victims, how many were interesting to the attackers?
  8. Why didn’t you catch this supply chain attack in the first place?
  9. What is Teardrop?
  10. What made this such a successful operation?

Les bons réflexes en cas d’intrusion sur un système d’information.


[MaJ] Présence de code malveillant dans SolarWinds Orion / Version du 23 décembre 2020 – remplace les versions précédentes

Le CERT-FR recommande fortement :

  • de vérifier si la version utilisée est affectée. Si c’est le cas, l’éditeur recommande de déconnecter les serveurs et considérer que le système d’information a pu être compromis dans son ensemble. En effet, il s’agit ici d’un logiciel légitime contenant une porte dérobée malveillante.
  • de réaliser, dans la mesure du possible, une image des disques et de la mémoire des serveurs hébergeant le produit Orion, cela à titre conservatoire pour recherche postérieure.
  • de prendre connaissance des marqueurs tenus à jour par l’US-CERT concernant SUNBURST [8].
  • de prendre connaissance des marqueurs concernant SUPERNOVA [6].
  • d’inventorier toutes les machines supervisées par SolarWinds Orion afin de les analyser en priorité.
  • de procéder à des recherches de compromissions au sein du système d’information en privilégiant les marqueurs réseau puis les indicateurs de compromission ‘système’. Microsoft a notamment centralisé la documentation sur les aspects techniques liés à cette compromission [9].
  • de contrôler les potentielles modifications au niveau des annuaires Active Directory et notamment l’ajout de privilèges élevés à des comptes [10] ou l’ajout d’approbations entre domaines ou forêts [11].
  • de contrôler l’utilisation anormale de jetons SAML notamment avec les plates-formes Office365/Azure AD.
  • de mettre à jour la solution Orion vers la version 2019.4 HF6 ou 2020.2.1 HF2.

Pour rappel, le CERT-FR a publié un guide à suivre en cas d’intrusion [5].

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.


23.12.20 – How we ( Kaspersky ) protect our users against the Sunburst backdoor

The detection logic has been improved in all our solutions to ensure that our customers remain protected. We continue to investigate this attack using our Threat Intelligence and we will add additional detection logic once they are required.

Our products protect against this threat and detect it with the following names:

  • Backdoor.MSIL.Sunburst.a
  • Backdoor.MSIL.Sunburst.b
  • HEUR:Trojan.MSIL.Sunburst.gen
  • HEUR:Backdoor.MSIL.Sunburst.gen
  • Backdoor.MSIL.Sunburst.b

…/…

Lire l’intégralité de l’article sur :


28.12.20 – Vulnérabilité dans SolarWinds Orion API

  • Une vulnérabilité a été découverte dans l’API Orion de SolarWinds. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
    • SolarWinds Orion API version 2020.2.1 sans le correctif HF 2 (publié le 15 Décembre 2020)
    • SolarWinds Orion API version 2019.4 sans le correctif HF 6 (publié le 14 Décembre 2020)
    • SolarWinds Orion API version 2019.2 sans le correctif SUPERNOVA Patch (publié le 23 Décembre 2020)
    • SolarWinds Orion API version 2018.4 sans le correctif SUPERNOVA Patch (publié le 23 Décembre 2020)
    • SolarWinds Orion API version 2018.2 sans le correctif SUPERNOVA Patch (publié le 23 Décembre 2020)

11.01.21 – Sunburst backdoor – code overlaps with Kazuar

On December 13, 2020, FireEye published a blog post detailing a supply chain attack leveraging Orion IT, an infrastructure monitoring and management platform by SolarWinds. In parallel, Volexity published an article with their analysis of related attacks, attributed to an actor named “Dark Halo”. FireEye did not link this activity to any known actor; instead, they gave it an unknown, temporary moniker – “UNC2452”.

This attack is remarkable from many points of view, including its stealthiness, precision targeting and the custom malware leveraged by the attackers, named “Sunburst” by FireEye.

In a previous blog, we dissected the method used by Sunburst to communicate with its C2 server and the protocol by which victims are upgraded for further exploitation. Similarly, many other security companies published their own analysis of the Sunburst backdoor, various operational details and how to defend against this attack. Yet, besides some media articles, no solid technical papers have been published that could potentially link it to previously known activity.

…/…

Malware Vs Backdoor #Sunburst / #UNC2452 / DarkHalo – (la faille SolarWinds) | Backdoor.MSIL.Sunburst* / Trojan.MSIL.Sunburst* ?

Le 13 décembre 2020, FireEye a annoncé avoir découvert une campagne d’intrusion par le biais d’une compromission de mise à jour de la plateforme de gestion et de supervision Orion de SolarWinds. Cette plate-forme a servi de vecteur pour une attaque par la chaîne d’approvisionnement (supply chain attack). Les mises à jour ont été altérées afin d’inclure un maliciel appelé SUNBURST [1]. Le code malveillant permet à l’attaquant d’exécuter du code à distance et d’exfiltrer des données.
L’éditeur confirme que certaines versions de son produit ont été altérées et a publié un avis afin de fournir toutes les informations pour que les utilisateurs puissent sécuriser leurs installations [2].
D’après FireEye, la campagne aurait commencé au printemps 2020 et continuerait actuellement. FireEye a mis à disposition des signatures de détection (cf [3]) pour ce maliciel.

Customer Guidance on Recent Nation-State Cyber Attacks

La cyberattaque, qui a commencé à être exploitée au printemps dernier, a visé de nombreuses entités de l’administration américaine, outre des organisations publiques et privées à travers le monde. Potentiellement attribuée à la Russie, il s’agirait de l’une des plus inquiétantes identifiées depuis des années.

Une cyberattaque d’envergure touche par ricochet les réseaux de nombreuses administrations et de grandes entreprises dans le monde entier, dont le géant Microsoft.

Sunburst : Microsoft concède faire partie des victimes, les autres se murent dans le silence

Sunburst: connecting the dots in the DNS requests

  1. Who is behind this attack? I read that some people say APT29/Dukes?
  2. I use Orion IT! Was I a target of this attack?
  3. Was this just espionage or did you observe destructive activities, such as ransomware?
  4. How many victims have been identified?
  5. What are the most affected countries?
  6. Why are you calling this an attack, when it’s just exploitation? (CNA vs CNE)
  7. Out of the 18,000 first stage victims, how many were interesting to the attackers?
  8. Why didn’t you catch this supply chain attack in the first place?
  9. What is Teardrop?
  10. What made this such a successful operation?

Les bons réflexes en cas d’intrusion sur un système d’information.


[MaJ] Présence de code malveillant dans SolarWinds Orion / Version du 23 décembre 2020 – remplace les versions précédentes

Le CERT-FR recommande fortement :

  • de vérifier si la version utilisée est affectée. Si c’est le cas, l’éditeur recommande de déconnecter les serveurs et considérer que le système d’information a pu être compromis dans son ensemble. En effet, il s’agit ici d’un logiciel légitime contenant une porte dérobée malveillante.
  • de réaliser, dans la mesure du possible, une image des disques et de la mémoire des serveurs hébergeant le produit Orion, cela à titre conservatoire pour recherche postérieure.
  • de prendre connaissance des marqueurs tenus à jour par l’US-CERT concernant SUNBURST [8].
  • de prendre connaissance des marqueurs concernant SUPERNOVA [6].
  • d’inventorier toutes les machines supervisées par SolarWinds Orion afin de les analyser en priorité.
  • de procéder à des recherches de compromissions au sein du système d’information en privilégiant les marqueurs réseau puis les indicateurs de compromission ‘système’. Microsoft a notamment centralisé la documentation sur les aspects techniques liés à cette compromission [9].
  • de contrôler les potentielles modifications au niveau des annuaires Active Directory et notamment l’ajout de privilèges élevés à des comptes [10] ou l’ajout d’approbations entre domaines ou forêts [11].
  • de contrôler l’utilisation anormale de jetons SAML notamment avec les plates-formes Office365/Azure AD.
  • de mettre à jour la solution Orion vers la version 2019.4 HF6 ou 2020.2.1 HF2.

Pour rappel, le CERT-FR a publié un guide à suivre en cas d’intrusion [5].

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.


23.12.20 – How we ( Kaspersky ) protect our users against the Sunburst backdoor

The detection logic has been improved in all our solutions to ensure that our customers remain protected. We continue to investigate this attack using our Threat Intelligence and we will add additional detection logic once they are required.

Our products protect against this threat and detect it with the following names:

  • Backdoor.MSIL.Sunburst.a
  • Backdoor.MSIL.Sunburst.b
  • HEUR:Trojan.MSIL.Sunburst.gen
  • HEUR:Backdoor.MSIL.Sunburst.gen
  • Backdoor.MSIL.Sunburst.b

…/…

Lire l’intégralité de l’article sur :


28.12.20 – Vulnérabilité dans SolarWinds Orion API

  • Une vulnérabilité a été découverte dans l’API Orion de SolarWinds. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
    • SolarWinds Orion API version 2020.2.1 sans le correctif HF 2 (publié le 15 Décembre 2020)
    • SolarWinds Orion API version 2019.4 sans le correctif HF 6 (publié le 14 Décembre 2020)
    • SolarWinds Orion API version 2019.2 sans le correctif SUPERNOVA Patch (publié le 23 Décembre 2020)
    • SolarWinds Orion API version 2018.4 sans le correctif SUPERNOVA Patch (publié le 23 Décembre 2020)
    • SolarWinds Orion API version 2018.2 sans le correctif SUPERNOVA Patch (publié le 23 Décembre 2020)

11.01.21 – Sunburst backdoor – code overlaps with Kazuar

On December 13, 2020, FireEye published a blog post detailing a supply chain attack leveraging Orion IT, an infrastructure monitoring and management platform by SolarWinds. In parallel, Volexity published an article with their analysis of related attacks, attributed to an actor named “Dark Halo”. FireEye did not link this activity to any known actor; instead, they gave it an unknown, temporary moniker – “UNC2452”.

This attack is remarkable from many points of view, including its stealthiness, precision targeting and the custom malware leveraged by the attackers, named “Sunburst” by FireEye.

In a previous blog, we dissected the method used by Sunburst to communicate with its C2 server and the protocol by which victims are upgraded for further exploitation. Similarly, many other security companies published their own analysis of the Sunburst backdoor, various operational details and how to defend against this attack. Yet, besides some media articles, no solid technical papers have been published that could potentially link it to previously known activity.

…/…

%d blogueurs aiment cette page :