Bij het onderzoek naar de wereldwijde SolarWinds-aanval is nieuwe malware ontdekt, zo meldt securitybedrijf Symantec in een analyse. De malware wordt Raindrop genoemd en werd geïnstalleerd nadat aanvallers al toegang tot de systemen van slachtoffers hadden gekregen.

Het uiteindelijke doel van Raindrop is de installatie van Cobalt Strike, een zogeheten "post-exploitation tool" die wordt gebruikt om netwerken verder te compromitteren. Raindrop is het vierde malware-exemplaar dat met de supply-chain-aanval in verband wordt gebracht.

Aanvallers wisten in 2019 toegang tot de systemen van SolarWinds te krijgen. Begin 2020 werden updates voor het Orion Platform van SolarWinds voorzien van een backdoor genaamd Sunburst. Zodra klanten van SolarWinds de Orion-updates installeerden waren hun systemen via de backdoor toegankelijk.

Bij bepaalde slachtoffers installeerden de aanvallers aanvullende malware. Het gaat onder andere om een exemplaar genaamd Teardrop. De Teardrop-malware werd gebruikt voor het laden van Cobalt Strike. Nu maakt Symantec melding van Raindrop. Een groot verschil met Teardrop is dat Raindrop niet werd geïnstalleerd via de Sunburst-backdoor. In plaats daarvan werd de malware gebruikt in netwerken waar al tenminste één machine was geïnfecteerd.

Symantec is bekend met een getroffen organisatie waar twee machines via de Orion-updates besmet raakten. Elf dagen later werd op een derde computer, waar nog niet eerder verdachte activiteiten op waren waargenomen, een exemplaar van de Raindrop-malware aangetroffen.

Een ander verschil tussen Raindrop en Teardrop is dat de eerstgenoemde is gecompileerd als een dll-bestand, dat als basis een aangepaste versie van het archiveringsprogramma 7-Zip gebruikt. De broncode van 7-Zip wordt niet gebruikt en is alleen bedoeld om de kwaadaardige functionaliteit die aanvallers hebben toegevoegd te verbergen.

Volgens Symantec is de ontdekking van Raindrop een belangrijk stap in het onderzoek naar de SolarWinds-aanval, aangezien het meer inzicht geeft in wat de aanvallers deden nadat ze de eerste machine van een organisatie hadden besmet. "Terwijl Teardrop werd gebruikt op computers die door de Sunburst-backdoor waren besmet, verscheen Raindrop op andere plekken in het netwerk en werd door de aanvallers gebruikt om zich lateraal te bewegen en andere computers aan te vallen", aldus Symantec.

Naast Sunburst, Teardrop en Raindrop werd vorige week nog de Sunspot-malware ontdekt. Deze malware werd gebruikt bij de aanval op SolarWinds zelf en had als doel het toevoegen van de Sunburst-backdoor aan de Orion-updates.