Novedades

Alerta: Se ha descubierto una campaña de intrusión a nivel global, la cual se está realizando a través del software SolarWinds Orion para distribuir un malware denominado SUNBURST. URGENTE actualización de software SolarWinds REQUERIDO.

Software de SolarWinds es utilizado para distribuir malware. Atención: URGENTE actualización de software SolarWinds REQUERIDO

Se ha descubierto una campaña de intrusión a nivel global, la cual se está realizando a través del software SolarWinds Orion para distribuir un malware denominado SUNBURST. Luego de comprometer el sistema el atacante utiliza múltiples técnicas para evadir su detección y ocultar su actividad.

¿Qué es el backdoor SUNBURST?

La siguiente dll “SolarWinds.Orion.Core.BusinessLayer.dll” es un componente firmado de SolarWinds el cual contiene el backdoor denominado como SUNBURST.

Inicialmente este permanece dormido hasta dos semanas para luego comenzar a, recuperar y ejecutar comandos, llamados “Jobs”, en los cuales incluyen la capacidad de ejecutar archivos, perfil del sistema, reiniciar la máquina y deshabilitar los servicios del sistema. Además disfraza el tráfico de red con un protocolo legítimo de SolarWinds denominado OIP (Orion Improvement Program) para almacenar el resultado del reconocimiento en archivos de configuración válidos y así evitar su pronta detección.

RECOMENDACIÓN:

 La siguiente recomendación otorgada por el sitio oficial de SolardWinds es realizar la inmediata actualización del software para la prevención de este ataque.  solarwinds.com

El foco de esta campaña según indica MVision Insight de McAfee es en los siguientes países:

Fuentes: 

• https://ui-usw001.mvision.mcafee.com/core/orionNavigationExtLogin.do#/core/orionTab.do?sectionId=MVISIONCategory&tabId=MVISIONinsightstab&orion.user.security.token=QiKVnegA3jTe8RZp
•   https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html  

 + INFO: No dudes en contactarnos> expertos@ransecurity.com