TEARDROPマルウェア

TEARDROPは、SolarwindのOrionプラットフォームに対するサプライチェーン攻撃で悪用されるマルウェアの脅威の1つです。攻撃者は、操作の特定の目標と特定の感染したターゲットに応じて、さまざまな脅威ツールを解き放ちました。これまでに見たことのないTEARDROPマルウェアは、第2段階のドロッパーとして機能し、次の段階のペイロードであるCobalt Strike Beacon Implant（バージョン4）の配信を任務としました。 Cobalt Strikeは、侵入テストで使用するように設計された正規のリモートアクセスツールであることに注意してください。ただし、その強力な機能の膨大なセットにより、複数のハッカーグループの兵器庫で人気のある備品となっています。 Cobalt Strikeを使用すると、潜在的な脅威アクターは、侵害されたシステムをほぼ完全に制御できます。 RAT（Remote Access Tool）は、キーロガールーチンを確立し、システム上で任意のショットを撮り、追加の有害なペイロードを配信し、ファイルシステムを操作し、暗号化されたトンネルを介して選択した機密データをリモートサーバーに盗み出すように命令できます。

TEARDROPマルウェアの構造

TEARDROPドロッパーは、ディスクにファイルを書き込むことなく完全にメモリ内で動作する、脅威となる64ビットダイナミックリンクライブラリ（DLL）です。これはサービスとして実行され、スレッドを生成し、「 festive_computer.jpg 」という名前のファイルの最初の64バイトを読み取ります。データは何にも必要ではなく、脅威は「 festive_computer.jpg 」ファイルがなくても操作を続行します。一部の研究者はINFOSECのような他のバージョン検出したとして、ファイルの実際の名前は、異なる場合があり「gracious_truth.jpgを」。

TEARDROPマルウェアの次のステップは、 HKU \ SOFTWARE \ Microsoft \ CTFの存在を確認し、カスタムXORアルゴリズムを介して埋め込まれたCobaltStrikeビーコンペイロードをデコードすることです。最後に、ドロッパーは、埋め込まれたペイロードをカスタムPEのような形式でメモリにロードします。

TEARDROPは、Raindropという名前の同じサプライチェーン攻撃で観察された別のドロッパーファミリーと密接に関連しています。 2つの脅威は同じ機能を持ち、事実上重要な重複があり、いくつかの重要な違いがあります。 2つのマルウェアファミリーの最大の特徴は、 Raindropに異なるパッカーを使用していることです。