Еще одна вредоносная программа, названная исследователями Raindrop, которая использовалась при взломе цепочки поставок SolarWinds, была обнаружена компанией Symantec.
Raindrop-это загрузчик для инструмента тестирования проникновения Cobalt Strike, но он не устанавливается через бэкдор Sunburst, который был добавлен в обновление программного обеспечения SolarWinds Orion network monitoring, сообщает Symantec.
Cobalt Strike kit-это инструмент тестирования проникновения, используемый экспертами по безопасности «Красной команды», занимающимися поиском уязвимостей в сетях своих клиентов; однако субъекты угроз также используют преимущества мощных инструментов Cobalt Strike.
Raindrop устанавливает асинхронный агент Cobalt Strike Beacon post-Exploitation agent для «телефонного дома» для командования и управления серверами от целей, а также для эксфильтрации данных.
Symantec обнаружила Raindrop в организации-жертве, которая в июле прошлого года скомпрометировала несколько компьютеров.
Исследователи полагают, что Raindrop был использован для того, чтобы позволить злоумышленникам перемещаться в боковом направлении в сети организации-жертвы, поскольку на скомпрометированном компьютере было запущено программное обеспечение доступа и управления.
Два других инструмента-законные внутренние службы каталогов для запросов к серверам Active Directory на наличие таких данных, как пароли и цифровые ключи, а также неизвестные mc_store.exe PyInstaller также были установлены Raindrop.
Raindrop похож на полезную нагрузку Teardrop, обнаруженную ранее, и которая также устанавливает Cobalt Strike Beacon. Teardrop поставляется в качестве вторичной полезной нагрузки вредоносным ПО Sunburst.
Вредоносная программа компилируется как динамическая библиотека ссылок (DLL), и файл, найденный Symantec, был назван bproxy.dll.
