TLP: Ambar
NIVEL DE RIESGO – [Alto]
Acción Requerida: Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Sistemas SolarWinds Orion.
Impacto: Filtración de información confidencial.

Descripción

Una firma de seguridad con sede en Estados Unidos ha emitido una alerta informando a las organizaciones acerca de que ha identificado una campaña de APT activa desde marzo de este año, dirigida principalmente a agencias gubernamentales de Estados Unidos, entidades de infraestructura crítica e instituciones del sector privado.

Según los expertos, el vector de acceso inicial que se está utilizando en esta campaña es el software de monitoreo de y administración de red, llamado “SolarWinds Orion”. Posteriormente el atacante agrega una versión maliciosa del binario solarwinds[.]orion[.]core[.]businesslayer[.]dll, después este llama a un dominio avsvmcloud[.]com diseñado para simular el tráfico del protocolo de SolarWinds legítimo, esto permite que el usuario malicioso envíe dominios y direcciones IP al servidor Comando y Control (C&C) del atacante.

De acuerdo con las investigaciones, el atacante utiliza servidores con direcciones IP del país origen de la víctima, y también modifica con frecuencia las direcciones IP para evitar la detección. Además, según una firma de seguridad, el programa malicioso que se instala en el equipo tiene la capacidad de identificar si se encuentra en un entorno de análisis, motivo por el cual detendrá su ejecución.

Una vez en el equipo de la víctima, el actor malicioso se centra en obtener tokens de autenticación y credenciales a cuentas de dominio del Directorio Activo (AD) con privilegios altos, esto como un mecanismo para escalar privilegios y generar persistencia. Después el usuario malicioso modifica el certificado del Lenguaje de Marcado para Confirmaciones de Seguridad, conocido como SAML, con el objetivo de crear tokens no autorizados pero válidos y los presenta a los servicios que confían en tokens SAML. Estos son utilizados para acceder a recursos en entornos aislados, como el correo electrónico.

El objetivo principal de los usuarios maliciosos, es recopilar información confidencial de las organizaciones, de manera principal se ha observado que el atacante busca cuentas de correo electrónico de objetivos particulares, principalmente, de altos ejecutivos, del personal de respuesta a incidentes y de TI.

Al día de hoy, solo se ha identificado el software SolarWinds Orion como el vector inicial, por lo cual las posibles víctimas se han calificado en tres categorías

  • La categoría 1 incluye a aquellas organizaciones que no tienen identificado el binario malicioso, estos usuarios pueden solamente actualizar sus sistemas.
  • La categoría 2 son aquellas instituciones que han identificado el binario malicioso, con o sin llamada al dominio avsvmcloud[.]com. Estas víctimas deben realizar un monitoreo de red, evaluar sus sistemas, implementar medidas de seguridad y reinstalar el software actualizado.
  • Finalmente, la categoría 3 incluye aquellos con actividad del dominio avsvmcloud[.]com y también con el C&C, por lo cual indica que la organización ha sido víctima de un ataque cibernético, por ello deben iniciar el plan de respuesta a incidentes de inmediato.

Por último, cabe desatacar que mediante acciones coordinadas de varias organizaciones de seguridad, a partir del 15 de diciembre de este año, el domino avsvmcloud[.]com resuelve a 20.140.0[.]1 que es una dirección IP en la lista de bloqueo de Microsoft. Esto evita futuros compromisos, sin embargo, en el caso de las infecciones anteriores, es probable que el atacante haya movido el servidor C&C y las acciones maliciosas continúen.

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas:

  • SolarWinds Orion 2019.4 a 2020.2.1

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • SHA-256:
    • 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c7
    • a25cadd48d70f6ea0c4a241d99c5241269e6faccb4054e62d16784640f8e53bc
    • d3c6785e18fba3749fb785bc313cf8346182f532c59172b69adfb31b96a5d0af
    • d0d626deb3f9484e649294a8dfa814c5568f846d5aa02d4cdad5d041a29d5600
    • c15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71
    • ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c0291c
    • c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77
    • dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b
    • eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed
    • 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134
    • ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6
  • Direciones IP
    • 13.59.205[.]66
    • 54.193.127[.]66
    • 65.153.203[.]68
    • 3.87.182[.]149
    • 3.16.81[.]254
    • 12.227.230[.]4
    • 54.215.192[.]52
    • 8.18.144[.]11
    • 8.18.144[.]12
    • 8.18.144[.]9
    • 8.18.144[.]20
    • 8.18.144[.]40
    • 8.18.144[.]44
    • 8.18.144[.]62
    • 8.18.144[.]130
    • 8.18.144[.]135
    • 8.18.144[.]136
    • 8.18.144[.]149
    • 8.18.144[.]156
    • 8.18.144[.]158
    • 8.18.144[.]165
    • 8.18.144[.]170
    • 8.18.144[.]180
    • 8.18.144[.]188
    • 8.18.145[.]3
    • 8.18.145[.]21
    • 8.18.145[.]33
    • 8.18.145[.]36
    • 8.18.145[.]131
    • 8.18.145[.]134
    • 8.18.145[.]136
    • 8.18.145[.]139
    • 8.18.145[.]150
    • 8.18.145[.]157
    • 8.18.145[.]181
    • 13.27.184[.]217
    • 18.217.225[.]111
    • 18.220.219[.]143
    • 20.141.48[.]154
    • 34.219.234[.]134
    • 184.72.1[.]3
    • 184.72.21[.]54
    • 184.72.48[.]22
    • 184.72.101[.]22
    • 184.72.113[.]55
    • 184.72.145[.]34
    • 184.72.209[.]33
    • 184.72.212[.]52
    • 184.72.224[.]3
    • 184.72.229[.]1
    • 184.72.240[.]3
    • 184.72.245[.]1
    • 196.203.11[.]89
  • Dominios
    • digitalcollege[.]org
    • freescanonline[.]com
    • globalnetworkissues[.]com
    • kubecloud[.]com
    • lcomputers[.]com
    • seobundlekit[.]com
    • solartrackingsystem[.]net
    • thedoccloud[.]com
    • virtualwebdata[.]com
    • webcodez[.]com

Medidas de contención

  • Aplicar las actualizaciones de seguridad, reglas y contramedidas publicadas por Microsoft, FireEye y los diversos sistemas de antivirus.
  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desdelos equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Monitorear el tráfico de la red para detectar actividad inusual en la red.
  • Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.
  • https://github.com/fireeye/sunburst_countermeasures

Referencias