Microsoft a dezvăluit trei variante recent descoperite de malware referitoare la atacul cibernetic SolarWinds. În același timp, a dat și actorului amenințător din spatele SolarWinds un nume de urmărire specific: Nobelium.
Informațiile recent dezvăluite oferă mai multe informații despre enormul atac cibernetic care a pretins mai multe agenții guvernamentale americane în lista sa de victime.
Microsoft dezvăluie mai multe variante malware
Într-o postare recentă către oficialul său Blogul Microsoft Security, compania a dezvăluit descoperirea a trei tipuri suplimentare de malware referitoare la atacul cibernetic SolarWinds: GoldMax, Sibot, și GoldFinder.
Microsoft apreciază că noile piese de malware au fost folosite de actor pentru a menține persistența și efectuați acțiuni pe rețele foarte specifice și vizate după compromis, evitând chiar detectarea inițială în timpul incidentului raspuns.
Noile variante malware au fost utilizate în ultimele etape ale atacului SolarWinds. Potrivit echipei de securitate Microsoft, noile instrumente de atac și tipurile de malware s-au găsit utilizare între august și septembrie 2020, dar este posibil să fi fost „pe sisteme compromise încă din iunie 2020."
În plus, aceste tipuri complet noi de malware sunt „unice pentru acest actor” și „personalizate pentru rețele specifice”, în timp ce fiecare variantă are capacități diferite.
- GoldMax: GoldMax este scris în Go și acționează ca un backdoor de comandă și control care ascunde activitățile rău intenționate pe computerul țintă. După cum sa constatat cu atacul SolarWinds, GoldMax poate genera trafic de rețea momeală pentru a-și masca traficul de rețea rău intenționat, oferindu-i aspectul unui trafic regulat.
- Sibot: Sibot este un malware cu scop dublu bazat pe VBScript, care menține o prezență persistentă în rețeaua țintă și care descarcă și execută o încărcătură utilă dăunătoare. Microsoft remarcă faptul că există trei variante ale malware-ului Sibot, toate având funcționalități ușor diferite.
- GoldFinder: Acest malware este scris și în Go. Microsoft crede că a fost „folosit ca un instrument de urmărire HTTP personalizat” pentru înregistrarea adreselor serverului și a altor infrastructuri implicate în atacul cibernetic.
Legate de: Microsoft dezvăluie ținta reală a atacului cibernetic SolarWinds
Există mai multe de venit de la SolarWinds
Deși Microsoft crede că faza de atac a SolarWinds este probabil terminată, mai multe dintre infrastructurile de bază și variantele malware implicate în atac încă așteaptă descoperirea.
Cu modelul stabilit al acestui actor de utilizare a infrastructurii și instrumentelor unice pentru fiecare țintă și a valorii operaționale a menținerii acestora persistența în rețele compromise, este probabil ca componente suplimentare să fie descoperite pe măsură ce investigația noastră asupra acțiunilor acestui actor de amenințare continuă.
Dezvăluirea că mai multe tipuri de malware și mai multe infrastructuri sunt încă de găsit nu va fi o surpriză pentru cei care urmăresc această saga în curs de desfășurare. Recent, a dezvăluit Microsoft a doua fază a SolarWinds, detaliind modul în care atacatorii au accesat rețelele și au menținut o prezență pentru perioada îndelungată în care au rămas nedetectați.
Gigantul tehnologic este ultima victimă a atacului SolarWinds.
- Știri tehnice
- Microsoft
- Ușa din spate
Gavin este Junior Editor pentru Windows și Technology Explained, un colaborator obișnuit la Podcast-ul cu adevărat util și a fost editor pentru site-ul suror al lui MakeUseOf, Blocks Decoded. Are un BA (Hons) Scriere contemporană cu practici de artă digitală jefuit de pe dealurile din Devon, precum și peste un deceniu de experiență scrisă profesională. Îi place cantități abundente de ceai, jocuri de societate și fotbal.
Aboneaza-te la newsletter-ul nostru
Alăturați-vă newsletterului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!
Încă un pas…!
Vă rugăm să confirmați adresa de e-mail în e-mailul pe care tocmai vi l-am trimis.
