CSIRT Asobancaria

Backdoor Sunburst afecta cadena de suministro de SolarWinds Orion

  • Publicado: 27/12/2020
  • Importancia: Media

Recursos afectados

Esta campaña posiblemente lleva activa desde marzo de 2020, donde los ciberdelincuentes puede que hayan comprometido los sistemas de distribución de SolarWinds, incrustando en la DLL legítima el backdoor Sunburst.

 

En el backdoor Sunburts, una vez instalado mediante la actualización de SolarWinds, el código malicioso incrustado se carga antes que se ejecute el código legítimo, luego de un periodo de inactividad de dos semanas, el backdoor intentará comunicarse con su servidor de comando y control (C2) a través de tráfico que imita las comunicaciones realizadas por la API de SolarWinds, por ejemplo, el protocolo Orion Improvement Program (OIP). Con esto se prepara al equipo comprometido para recibir cargas útiles de segunda etapa, como por ejemplo el dropper Teardrop que despliega el payload Beacon de Cobalt Strike.

 

Este es un breve resumen por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas