Microsoft поделилась подробностями своего расследования относительно того, как хакерам при взломе систем SolarWinds удавалось оставаться незамеченными.

Отчет представили эксперты Microsoft 365 Defender, Microsoft Threat Intelligence Center (MSTIC) и Microsoft Cyber ​​Defense Operations Center (CDOC).

Новые подробности касаются второго этапа взлома Solorigate, когда хакеры предпринимали шаги для развертывания загрузчиков Cobalt Strike (Teardrop, Raindrop и другие) после удаления бэкдора DLL Solorigate (Sunburst).

Как выяснили эксперты, хакеры следовали лучшим методам обеспечения безопасности операций (OpSec), чтобы минимизировать следы и оставаться вне поля зрения.

Некоторые примеры тактики уклонения хакеров:

методическое устранение общих индикаторов для каждого скомпрометированного хоста путем развертывания пользовательских Cobalt Strike DLL на каждом компьютере,

маскировка путем переименования инструментов и двоичных файлов в соответствии с файлами и программами на взломанном устройстве,

отключение регистрации событий с помощью AUDITPOL перед практическими действиями с клавиатуры и включение обратно после них,

создание правил брандмауэра для минимизации исходящих пакетов для определенных протоколов перед запуском действий по перечислению сетей, которые потом удалялись,

отключение служб безопасности на целевых хостах, использование временных меток для изменения временных меток артефактов, а также процедур и инструментов очистки, чтобы препятствовать обнаружению вредоносных внедрений DLL в уязвимых средах.

Кроме того, Microsoft предоставляет список наиболее интересных и необычных тактик, приемов и процедур (TTP), используемых в этих атаках.

Компания также заявила, что «активно работает с MITER, чтобы убедиться, что любая новая техника, возникающая в результате этого инцидента, задокументирована в будущих обновлениях структуры ATT&CK».

Подробный график этих атак показывает, что бэкдор Solorigate DLL был развернут в феврале, а в скомпрометированных сетях — в конце марта.

После этого этапа злоумышленники подготовили внедрение Cobalt Strike и к началу мая выбрали цели.

Удаление функции создания бэкдора и скомпрометированного кода из бинарных файлов SolarWinds в июне может указывать на то, что к этому времени злоумышленники поразили достаточное количество мишеней, и их интерес сместился с развертывания и активации бэкдора (этап 1) для работы в выбранных сетях-жертвах.

Ранее в Microsoft после аудита своей инфраструктуры Office 365 и Azure подтвердили факт получения хакерами доступа к внутренним сетевым и серверным ресурсам компании. В ходе взлома злоумышленники смогли просмотреть часть исходного кода некоторых продуктов.

Microsoft пострадала при атаке, в ходе которой хакеры получили доступ к сетям производителя программного обеспечения SolarWinds. Инцидент с получением вредоносного обновления данного ПО затронул компьютерные системы нескольких американских правительственных структур, а также тысячи компаний по всему миру.