Microsoft har avslørt tre nylig funnet malware-varianter knyttet til SolarWinds cyberangrep. Samtidig har det også gitt trusselsaktøren bak SolarWinds et spesifikt sporingsnavn: Nobelium.
Den nylig avslørte informasjonen gir mer innsikt i den enorme nettangrepet som hevdet flere amerikanske myndigheter i offerlisten.
Microsoft avslører flere malware-varianter
I et nylig innlegg til sin offisielle Microsofts sikkerhetsblogg, avslørte selskapet oppdagelsen av ytterligere tre typer skadelig programvare knyttet til SolarWinds nettangrep: GoldMax, Sibot, og GoldFinder.
Microsoft vurderer at de nylig oppdagede skadelige programmene ble brukt av skuespilleren for å opprettholde utholdenhet og utføre handlinger på veldig spesifikke og målrettede nettverk etter kompromiss, og til og med unngå første deteksjon under en hendelse respons.
De nye malware-variantene ble brukt i de siste trinnene av SolarWinds-angrepet. I følge Microsofts sikkerhetsteam ble de nye angrepsverktøyene og malware-typene funnet å være i bruk mellom august og september 2020, men kan ha "vært på kompromitterte systemer allerede i juni 2020."
Videre er disse helt nye typene malware "unike for denne skuespilleren" og "skreddersydd for spesifikke nettverk", mens hver variant har forskjellige muligheter.
- GoldMax: GoldMax er skrevet i Go og fungerer som en kommando og kontroll bakdør som skjuler ondsinnede aktiviteter på måldatamaskinen. Som det ble funnet med SolarWinds-angrepet, kan GoldMax generere lokketrafikk for å skjule sin ondsinnede nettverkstrafikk, slik at den ser ut som vanlig trafikk.
- Sibot: Sibot er en VBScript-basert malware med to formål som opprettholder en vedvarende tilstedeværelse i målnettverket og for å laste ned og utføre en ondsinnet nyttelast. Microsoft bemerker at det er tre varianter av Sibot-skadelig programvare, som alle har litt annen funksjonalitet.
- GoldFinder: Denne skadelige programvaren er også skrevet i Go. Microsoft mener at det ble "brukt som et tilpasset HTTP-sporingsverktøy" for å logge serveradresser og annen infrastruktur som er involvert i nettangrepet.
I slekt: Microsoft avslører faktisk mål for SolarWinds nettangrep
Det er mer å komme fra SolarWinds
Selv om Microsoft mener at angrepsfasen til SolarWinds sannsynligvis er avsluttet, venter fortsatt flere av de underliggende infrastruktur- og malware-variantene som er involvert i angrepet på oppdagelse.
Med denne skuespillerens etablerte mønster for bruk av unik infrastruktur og verktøy for hvert mål, og den operative verdien av å opprettholde deres utholdenhet på kompromitterte nettverk, er det sannsynlig at flere komponenter vil bli oppdaget som vår undersøkelse av handlingene til denne trusselaktøren fortsetter.
Åpenbaringen om at flere malware-typer og mer infrastruktur ennå ikke er funnet, vil ikke komme som en overraskelse for de som sporer denne pågående sagaen. Nylig avslørte Microsoft SolarWinds andre fase, som beskriver hvordan angriperne fikk tilgang til nettverk og opprettholdt en tilstedeværelse i den lange perioden de forble uoppdaget.
Teknologigiganten er det siste offeret for det pågående SolarWinds-angrepet.
- Tekniske nyheter
- Microsoft
- Bakdør
Gavin er Junior Editor for Windows and Technology Explained, en regelmessig bidragsyter til den virkelig nyttige podcasten, og var redaktør for MakeUseOfs kryptofokuserte søsterside, Blocks Decoded. Han har en BA (Hons) moderne skriving med digital kunstutøvelse plyndret fra åsene i Devon, samt over et tiår med profesjonell skriveerfaring. Han liker store mengder te, brettspill og fotball.
Abonner på vårt nyhetsbrev
Bli med på nyhetsbrevet vårt for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!
Ett steg til…!
Bekreft e-postadressen din i e-posten vi nettopp sendte deg.