Raindrop, nuevo malware vinculado al ataque de Solarwinds
- Publicado: 18/01/2021
- Importancia: Alta
- Recursos afectados
Se observó actividad de Raindrop en las redes de tres organizaciones víctimas diferentes. La primera organización contaba con un software de acceso y administración que pudo ser usado para acceder a los equipos de la red comprometida. También se evidenció el uso de una versión legítima de 7-Zip para instalar Directory Services Internals (DSInternals), una herramienta legítima utilizada para consultar servidores de Active Directory y recuperar información de gran valor.
En la segunda organización, Raindrop instaló Cobalt Strike y luego ejecutó comandos de PowerShell para instalar Raindrop en otros equipos de la red. En la red de la tercera organización, Raindrop también instaló Cobalt Strike, pero se observó que no tenía servidor C2 basado en HTTP, estaba configurado para usar una red pipe sobre SMB, por lo que el C2 se enrutaba a través de otro equipo de la red local.
Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas