Microsoft ujawnił trzy nowo znalezione warianty złośliwego oprogramowania związane z cyberatakiem SolarWinds. W tym samym czasie nadał również aktorowi zagrażającemu SolarWinds specyficzną nazwę śledzenia: Nobelium.
Nowo ujawnione informacje zapewniają lepszy wgląd w ogromny cyberatak, który pochłonął wiele agencji rządowych USA na liście ofiar.
Firma Microsoft ujawnia wiele wariantów złośliwego oprogramowania
W ostatnim poście do swojego urzędnika Blog firmy Microsoft dotyczący zabezpieczeń, firma ujawniła odkrycie trzech dodatkowych typów złośliwego oprogramowania związanych z cyberatakiem SolarWinds: GoldMax, Sibot, i GoldFinder.
Microsoft ocenia, że nowo ujawnione fragmenty złośliwego oprogramowania zostały wykorzystane przez aktora do utrzymania trwałości i wykonywać działania w bardzo specyficznych i ukierunkowanych sieciach po włamaniu, nawet unikając wstępnego wykrycia podczas incydentu odpowiedź.
Nowe warianty szkodliwego oprogramowania zostały wykorzystane na późniejszych etapach ataku SolarWinds. Według zespołu ds. Bezpieczeństwa firmy Microsoft wykryto nowe narzędzia do ataków i typy złośliwego oprogramowania używać między sierpniem a wrześniem 2020 r., ale mogło „znajdować się w zaatakowanych systemach już w czerwcu 2020."
Co więcej, te całkowicie nowe typy złośliwego oprogramowania są „unikalne dla tego aktora” i „dostosowane do konkretnych sieci”, podczas gdy każdy wariant ma inne możliwości.
- GoldMax: GoldMax jest napisany w Go i działa jako backdoor polecenia i kontroli, który ukrywa złośliwe działania na komputerze docelowym. Jak stwierdzono w przypadku ataku SolarWinds, GoldMax może generować ruch sieciowy wabika, aby ukryć złośliwy ruch sieciowy, nadając mu wygląd zwykłego ruchu.
- Sibot: Sibot to oparte na VBScript dwufunkcyjne złośliwe oprogramowanie, które utrzymuje stałą obecność w sieci docelowej oraz pobiera i uruchamia złośliwy ładunek. Microsoft zauważa, że istnieją trzy warianty złośliwego oprogramowania Sibot, z których wszystkie mają nieco inną funkcjonalność.
- GoldFinder: To złośliwe oprogramowanie jest również napisane w Go. Microsoft uważa, że był on „używany jako niestandardowe narzędzie śledzące HTTP” do rejestrowania adresów serwerów i innej infrastruktury zaangażowanej w cyberatak.
Związane z: Microsoft ujawnia rzeczywisty cel cyberataku SolarWinds
Z SolarWinds nadejdzie więcej
Chociaż Microsoft uważa, że faza ataku SolarWinds prawdopodobnie dobiegła końca, więcej podstawowej infrastruktury i wariantów złośliwego oprogramowania biorących udział w ataku nadal czeka na wykrycie.
Dzięki ugruntowanemu wzorcowi wykorzystania przez tego aktora unikalnej infrastruktury i narzędzi dla każdego celu oraz wartości operacyjnej utrzymania ich utrzymuje się w zaatakowanych sieciach, jest prawdopodobne, że dodatkowe komponenty zostaną odkryte podczas naszego dochodzenia w sprawie działań tego aktora trwa.
Odkrycie, że nie znaleziono jeszcze większej liczby typów złośliwego oprogramowania i infrastruktury, nie będzie zaskoczeniem dla osób śledzących tę trwającą sagę. Niedawno ujawnił Microsoft druga faza SolarWinds, szczegółowo opisując, w jaki sposób osoby atakujące uzyskiwały dostęp do sieci i utrzymywały swoją obecność przez długi czas, kiedy pozostawali niewykrytymi.
Gigant technologiczny jest ostatnią ofiarą trwającego ataku SolarWinds.
- Wiadomości techniczne
- Microsoft
- Tylne drzwi
Gavin jest młodszym redaktorem dla Windows and Technology Explained, stałym współpracownikiem Really Useful Podcast, a także redaktorem siostrzanej witryny MakeUseOf, Blocks Decoded, skupiającej się na kryptografii. Posiada tytuł licencjata (z wyróżnieniem) w zakresie współczesnego pisania z praktykami sztuki cyfrowej zrabowanych ze wzgórz Devon, a także ponad dziesięcioletnie doświadczenie w pisaniu. Uwielbia herbatę, gry planszowe i piłkę nożną.
Zapisz się do naszego newslettera
Dołącz do naszego biuletynu, aby otrzymywać wskazówki techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Jeszcze jeden krok…!
Potwierdź swój adres e-mail w wiadomości e-mail, którą właśnie wysłaliśmy.