Symantec vindt vierde malware-soort die tijdens SolarWinds-hack werd gebruikt

Beveiligingsbedrijf Symantec heeft een nieuwe malware ontdekt in de SolarWinds-hack. Raindrop werd gebruikt om de Cobalt Strike-toolkit te installeren bij een beperkt aantal slachtoffers. Het is de vierde malware-soort die is ontdekt in de aanval.

De malware werd ontdekt door beveiligingsbedrijf Symantec, dat daar een blogpost over schreef. Het bedrijf ontdekte een nieuwe vorm van malware die werd gebruikt tijdens de SolarWinds-hack die in december plaatsvond. Vermoedelijk Russische staatshackers wisten toen binnen te dringen bij het bedrijf SolarWinds en infecteerden daar de netwerkmonitoringtool Orion. Op die manier konden ze binnendringen bij ministeries en bedrijven. Tot nu toe hadden beveiligingsbedrijven en onderzoekers drie soorten malware gevonden waarmee de hackers binnenkwamen, maar daar komt er nu nog een bij.

Symantec noemt de malware Raindrop. Die werd pas in een laat stadium van de hack gebruikt. De aanvallers gebruikten aanvankelijk de malware Sunspot om bij SolarWinds binnen te dringen. Eenmaal binnen infecteerden ze de Orion-software met de Sunburst-malware. Die werd bij bedrijven geïnstalleerd via een geïnfecteerde update. Eenmaal op die systemen werd Sunburst gebruikt om de malware Teardrop in te zetten. Teardrop legde onder andere een verbinding naar een command-and-control-server, waar het de software van Cobalt Strike downloadde. Daarmee konden hackers op verschillende manieren door systemen heen bewegen.

Volgens Symantec lijkt Raindrop erg veel op Teardrop. Raindrop is net als Teardrop een loader waarmee de Cobalt Strike-payload werd gedownload. Toch zegt Symantec dat er een aantal belangrijke verschillen zijn. Met name de manier waarop Raindrop werd geïnstalleerd is onduidelijk. Raindrop verscheen op systemen waar de Sunburst-malware ook op stond, maar lijkt niet via de Sunburst-backdoor te zijn geïnstalleerd. Het bedrijf zegt nog niet te weten hoe de malware dan op de systemen kwam.

Het bedrijf speculeert dat Raindrop mogelijk via PowerShell is gedownload. Sunburst was een fileless malware die onder andere via een shell commando's kon uitvoeren en zo weinig sporen achterliet. Het is echter niet zeker dat de malware zo binnen kwam. Er zitten daarnaast ook een aantal verschillen tussen de malwarevarianten, bijvoorbeeld in de manier waarop die zichzelf onzichtbaar maken.

Raindrop

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 19-01-2021 17:05 27

19-01-2021 • 17:05

27

Lees meer

SolarWinds: aantal slachtoffers van Sunburst-achterdeur is minder dan honderd
SolarWinds: aantal slachtoffers van Sunburst-achterdeur is minder dan honderd Nieuws van 10 mei 2021
Overheid VS: SolarWinds-hack trof minimaal 100 bedrijven en 9 overheden
Overheid VS: SolarWinds-hack trof minimaal 100 bedrijven en 9 overheden Nieuws van 18 februari 2021
Australische financiële waakhond meldt datalek na hack via Accellion-software
Australische financiële waakhond meldt datalek na hack via Accellion-software Nieuws van 26 januari 2021
Malwarebytes: SolarWinds-hackers vielen ons ook aan en lazen bedrijfsmails
Malwarebytes: SolarWinds-hackers vielen ons ook aan en lazen bedrijfsmails Nieuws van 19 januari 2021
SolarWinds-hackers zaten in mailboxen van Amerikaans ministerie van Justitie
SolarWinds-hackers zaten in mailboxen van Amerikaans ministerie van Justitie Nieuws van 7 januari 2021
Microsoft en veertig klanten zijn getroffen door SolarWinds-hack
Microsoft en veertig klanten zijn getroffen door SolarWinds-hack Nieuws van 18 december 2020
Wat weten we nu wel - en vooral niet - over de SolarWinds-hack?
Wat weten we nu wel - en vooral niet - over de SolarWinds-hack? Nieuws van 17 december 2020
Enkele honderden Nederlandse bedrijven gebruiken kwetsbare SolarWinds-software
Enkele honderden Nederlandse bedrijven gebruiken kwetsbare SolarWinds-software Nieuws van 16 december 2020
Ernstige kwetsbaarheid in SolarWinds-tool Orion wordt actief uitgebuit
Ernstige kwetsbaarheid in SolarWinds-tool Orion wordt actief uitgebuit Nieuws van 14 december 2020
Meer producten en artikelen
Beveiliging en antivirus Orion Symantec Malware SolarWinds

Reacties (27)

-Moderatie-faq
27
27
9
2
0
5
Wijzig sortering
kuurtjes 19 januari 2021 20:57
Buiten dat het altijd op Rusland wordt gestoken vind ik die domme malware naamgevingen ook al ver mijn strot ingeduwd worden.

Even een lijstje om het terug deftig op een rijtje te zetten:
- Sunspot: malware die tijdens het compileren van de Orion software de (Sunburst) dropper/loader (code) toevoegd
- Sunburst: een dropper/loader (code) om Teardrop te downloaden en installeren
- Teardrop: een fileless dropper/loader die gebruikt werd om custom Cobalt Strike Beacons te installeren
- Raindrop: een dropper/loader, maar ook mogelijk trojan/backdoor, die waarschijnlijk handmatig in het geïnfecteerde netwerk werd verspreid. Deze werd gebruikt om verdere malware/tools te downloaden en installeren, alsook Cobalt Strike Beacons op te zetten en malicious code te executeren.
- Cobalt Strike Beacon: daadwerkelijke backdoor die gebruikt werd om de aanvallers door het geïnfecteerde netwerk te laten navigeren. Deze beacon is deel van een toolkit die online te vinden is en ook door whitehat hackers gebruikt wordt.

De enige reden trouwens dat het mogelijks van Russische hackers zou zijn zou ook gewoon puur een false flag kunnen zijn. Hier een artikel: https://thehackernews.com...nks-between-sunburst.html

Anyways, puur vanuit een technologisch perspectief is het een zeer mooie aanval, waar je heel veel kennis voor nodig hebt.

Mocht trouwens 1 van de definities in het lijstje fout zijn hoor ik het graag.

[Reactie gewijzigd door kuurtjes op 22 juli 2024 14:54]

Aerophobia1 @kuurtjes20 januari 2021 10:04
Tja, 1 foute werknemer met genoeg rechten die via USB de eerste tools plaatst achter de firewall?

[Reactie gewijzigd door Aerophobia1 op 22 juli 2024 14:54]

Sluuut @kuurtjes21 januari 2021 11:37
Goede opmerking, het is altijd maar te simpel en makkelijk om de vinger naar Rusland te wijzen. Als Korea een klein beetje slim is en ze maken malware zoals deze dan laten ze 'fake' russische sporen achter om een dwaalspoor op te zetten. Lijkt mij helemaal niet zo lastig. Je zou zelfs nog 2 dwaalsporen op kunnen zetten, dat men in eerste instantie denkt dat het Rusland is, maar na meer onderzoek Korea verdenkt, terwijl het China was (of in andere volgorde.. ik verdenk iedereen en niemand :))
nl-x 19 januari 2021 17:50
Daar gaan we weer lekker met The Usual Suspects. Anonieme bronnen zeiden tegen Reuters dat in het onderzoek 'geloofd wordt dat Rusland verantwoordelijk is'. Dat is op dit moment dus ook binnen de Amerikaanse overheid geen zekerheid, maar slechts nog de theorie. Je kunt dus NIET spreken van 'vermoedelijk Russische staatshackers', zoals in het artikel wordt gezegd. Het is slechts een theorie zonder grondslag dat onderzocht werd; een geloof zonder enig bewijs of aanleiding.
jochem4207 @nl-x19 januari 2021 17:52
Het is inderdaad echt irritant, elke hack op westerse wereld is altijd Rusland of China.
nl-x @jochem420719 januari 2021 17:55
Vergeet Iran en Noord-Korea niet. Ook zij moeten sancties erbij krijgen. Maar zeg nooit Israel, want dat komt politiek nooit goed uit. Maar vaker dan niet blijkt het uiteindelijk een autistisch kind bij jou om de hoek te zijn, dat nooit voorpagina nieuws haalt. Het kwaad is dan al geschied.

[Reactie gewijzigd door nl-x op 22 juli 2024 14:54]

GoBieN-Be @nl-x19 januari 2021 23:28
Maar in dit geval, de SolarWinds hack, mag je er van uit gaan dat dit geen kiddie ergens is. De inbraak, en vervolgens het manipuleren van de software updates van Orion, is zo gesofisticeerd. En het was hun duidelijk niet om SolarWinds zelf te doen, maar wel om de high-profile klanten die Orion gebruiken.
jochem4207 @nl-x19 januari 2021 21:58
Inderdaad :)
Douweegbertje @nl-x19 januari 2021 18:32
Je kan het prima over een vermoeden hebben.
Een vermoeden is een bewering waarvan men denkt dat deze waar is, zonder daarvan zeker te zijn
nl-x @Douweegbertje19 januari 2021 18:44
Het is ook helemaal geen bewering waarvan men denkt dat het waar is. Het is een theorie die ze willen onderzoeken.

Even los van dat het anonieme bronnen zijn die op geen enkele manier ter verantwoording zijn te roepen. Of waarvan we kunnen nagaan of ze betrouwbaar en onpartijdig zijn.
F-I-X @nl-x19 januari 2021 23:45
Het is ook helemaal geen bewering waarvan men denkt dat het waar is. Het is een theorie die ze willen onderzoeken.
Als het een bewering was waarvan "men" denkt dat niet waar is, was het ook niet genoemd. Het enige wat je niet weet is waar het vermoeden op is gebaseerd maar dat maakt het zeker geen minder valide vermoeden.
Even los van dat het anonieme bronnen zijn die op geen enkele manier ter verantwoording zijn te roepen. Of waarvan we kunnen nagaan of ze betrouwbaar en onpartijdig zijn.
*duh* 8)7 Dat heb je wel eens met een anonieme bron... maar als het meerdere (anonieme) bronnen zijn kan je de aanname maken dat er een kern van waarheid in zit.

Ik hoop dat je met "we" in nagaan of ze betrouwbaar zijn niet WIJ als Tweakers lezers bedoelen... dat is gewoon absurd.
janbaarda @F-I-X20 januari 2021 00:10
De kracht van herhaling: als je de leugen maar lang genoeg herhaalt wordt deze vanzelf de "waarheid" (vrij naar Goebbels). Nu zijn het de Russen, wie weet waar dit toe leid.
Iblies @nl-x20 januari 2021 10:48
De grote grap is dat rusland zelf hoofdzakelijk windows gebruikt.

Redelijk ironisch als een ander land je software en zwaktepunten beter begrijpt. Ik zie ook nooit russen terugkomen in de top van de softwarebedrijven van sillicon valley, ze doen iets toch beter dan.
gaskabouter 19 januari 2021 17:42
Is er iets bekend over het aantal van die soort hacks wat we niet kennen?

Ik bedoel in de geneeskunde gaan we er vanuit dat er een bepaald aantal veroorzakers van ziekten, virussen gendefect etc, zijn die we niet kennen. The known unknown... Hoe zit dat bij de cyber security? Vind je een besmetting weet je dan dat er bijvoorbeeld zeker nog 1 of 2 unknown in the wild zijn?

[Reactie gewijzigd door gaskabouter op 22 juli 2024 14:54]

DefaultError 19 januari 2021 17:21
In short, the cybersecurity game has grown more complex—and the stakes have never been higher.
K4F @DefaultError19 januari 2021 17:26
Maar defense in depth is nog altijd wat het ooit was.
DefaultError @K4F19 januari 2021 17:38
En is het wijs om vele lagen te kunnen begrijpen. Het blijft een kat en muis hoe je de alles dicht spijkert.

Alles wat toegankelijk is vanaf buiten dient redelijk ‘up to date’ te zijn.
SED @DefaultError19 januari 2021 17:41
Het pijnlijke hier is dan wel dat de tool juist binnen kwam via de solarwinds updates.
DefaultError @SED19 januari 2021 17:43
Toen waren ze helaas al binnen en een geniale zet voor verspreiding.
SED @DefaultError19 januari 2021 18:27
Ze kwamen binnen via de solarwinds updates! Dat bedoelde ik in reactie op jouw (overigens verder terechte) stelling.
ZhuBaJie 19 januari 2021 18:04
"Russische staatshackers"....
Vooral het vijandbeeld blijven versterken jongens.....
Wouterie @ZhuBaJie19 januari 2021 19:35
Zo'n opmerking in het artikel heeft wat mij betreft nog steeds een hoog Command & Conquer gehalte.
well0549 19 januari 2021 19:35
Nou ja, Iran is ook nog steeds boos in verband met de kern centrales....
McDave_76 19 januari 2021 19:45
V.w.b. de vermoedelijke daders, er is een boek geschreven door een Nederlandse onderzoeks journalist. Huib Modderkolk, Het is oorlog, maar niemand ziet het. Je zult verbaasd zijn.
Ikzellef 19 januari 2021 22:35
Als men nu eens al dit soort belangrijke computers los zou koppellen van het internet, zou men zich een hoop ellende besparen.
Alles en iedereen hangt tegenwoordig aan en zeer lek systeem, en doet alsof dat noodzakelijk is, wat heel vaak niet zo is.
Maar t is zo makkelijk.......
darkfader @Ikzellef20 januari 2021 09:39
Juist van onbelangrijke systemen trek ik de stekker eruit als ik de netwerkpoort voor iets anders nodig heb :o
Pinkys Brain @Ikzellef20 januari 2021 12:22
Het is zo makkelijk, maar het word ze ook wel makkelijk gemaakt door veel beveiliging experts in de media. Die zitten al jaren airgaps af te kraken en ik denk niet dat dat op gaat houden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq