Microsoft har afsløret tre nyligt fundne malware-varianter, der vedrører SolarWinds cyberangreb. Samtidig har det også givet trusselsaktøren bag SolarWinds et specifikt sporingsnavn: Nobelium.
De nyligt videregivne oplysninger giver mere indsigt i den enorme cyberangreb, der hævdede flere amerikanske regeringsagenturer på sin offerliste.
Microsoft afslører flere malware-varianter
I et nyligt indlæg til sin embedsmand Microsofts sikkerhedsblog, afslørede virksomheden opdagelsen af yderligere tre malware-typer, der vedrører SolarWinds cyberangreb: GoldMax, Sibotog GoldFinder.
Microsoft vurderer, at de nyligt viste overflader af malware blev brugt af skuespilleren til at opretholde vedholdenhed og udføre handlinger på meget specifikke og målrettede netværk efter kompromis, selv undgå initial detektion under hændelse respons.
De nye malware-varianter blev brugt i de sidste faser af SolarWinds-angrebet. Ifølge Microsofts sikkerhedsteam blev de nye angrebsværktøjer og malware-typer fundet i brug mellem august og september 2020, men kan have "været på kompromitterede systemer allerede i juni 2020."
Desuden er disse helt nye typer malware "unikke for denne aktør" og "skræddersyet til specifikke netværk", mens hver variant har forskellige muligheder.
- GoldMax: GoldMax er skrevet i Go og fungerer som en kommando- og kontrolbagdør, der skjuler ondsindede aktiviteter på målcomputeren. Som det findes med SolarWinds-angrebet, kan GoldMax generere lokketrafik for at skjule sin ondsindede netværkstrafik og give det udseendet af regelmæssig trafik.
- Sibot: Sibot er en VBScript-baseret dual-purpose malware, der opretholder en vedvarende tilstedeværelse på målnetværket og til at downloade og udføre en ondsindet nyttelast. Microsoft bemærker, at der er tre varianter af Sibot-malware, som alle har en lidt anden funktionalitet.
- GoldFinder: Denne malware er også skrevet i Go. Microsoft mener, at det blev "brugt som et brugerdefineret HTTP-sporingsværktøj" til logning af serveradresser og anden infrastruktur involveret i cyberangrebet.
Relaterede: Microsoft afslører det faktiske mål for SolarWinds cyberangreb
Der er mere at komme fra SolarWinds
Selv om Microsoft mener, at angrebsfasen af SolarWinds sandsynligvis er afsluttet, venter flere af de underliggende infrastruktur- og malware-varianter, der er involveret i angrebet, stadig på opdagelse.
Med denne skuespillers etablerede mønster for at bruge unik infrastruktur og værktøj til hvert mål og den operationelle værdi af at opretholde deres vedholdenhed på kompromitterede netværk, er det sandsynligt, at yderligere komponenter vil blive opdaget som vores undersøgelse af handlinger fra denne trusselsaktør fortsætter.
Åbenbaringen om, at flere malware-typer og mere infrastruktur endnu ikke findes, kommer ikke som en overraskelse for dem, der sporer denne igangværende saga. For nylig afslørede Microsoft SolarWinds anden fase, der beskriver, hvordan angriberne fik adgang til netværk og opretholdt en tilstedeværelse i den lange periode, de forblev uopdaget.
Teknologigiganten er det seneste offer for det igangværende SolarWinds-angreb.
- Tekniske nyheder
- Microsoft
- Bagdør
Gavin er Junior Editor til Windows og Technology Explained, en regelmæssig bidragyder til den virkelig nyttige podcast og var redaktør for MakeUseOfs kryptofokuserede søsterside, Blocks Decoded. Han har en BA (Hons) moderne skrivning med digital kunstpraksis, der er plyndret fra Devons bakker, samt over et årti med professionel skriverfaring. Han nyder store mængder te, brætspil og fodbold.
Abonner på vores nyhedsbrev
Deltag i vores nyhedsbrev for tekniske tip, anmeldelser, gratis e-bøger og eksklusive tilbud!
Et trin mere !!!
Bekræft din e-mail-adresse i den e-mail, vi lige har sendt dig.
