Microsoft je otkrio tri novopronađene inačice zlonamjernog softvera koje se odnose na cyber-napad SolarWinds. Istodobno je akteru prijetnje koji stoji iza SolarWindsa dao i određeno ime za praćenje: Nobelium.
Novootkrivene informacije pružaju bolji uvid u ogroman cyber napad, koji je na popisu žrtava zahtijevao više američkih vladinih agencija.
Microsoft otkriva više inačica zlonamjernog softvera
U nedavnom postu svom službenom Blog Microsoftove sigurnosti, tvrtka je otkrila otkriće tri dodatne vrste zlonamjernog softvera koje se odnose na cyber-napad SolarWinds: GoldMax, Sibot, i GoldFinder.
Microsoft procjenjuje da je glumac novootkrivene komade zlonamjernog softvera koristio za održavanje ustrajnosti i izvoditi akcije na vrlo specifičnim i ciljanim mrežama nakon kompromisa, čak izbjegavajući početno otkrivanje tijekom incidenta odgovor.
Nove inačice zlonamjernog softvera korištene su u kasnijim fazama napada SolarWinds. Prema Microsoftovom sigurnosnom timu utvrđeno je da postoje novi alati za napad i vrste zlonamjernog softvera koristiti između kolovoza i rujna 2020., ali je možda "bio na ugroženim sustavima već u lipnju 2020."
Nadalje, ove potpuno nove vrste zlonamjernog softvera "jedinstvene su za ovog glumca" i "prilagođene određenim mrežama", dok svaka varijanta ima različite mogućnosti.
- GoldMax: GoldMax je napisan u programu Go i djeluje kao sigurnosna vrata naredbe i kontrole koja skriva zlonamjerne aktivnosti na ciljnom računalu. Kao što je utvrđeno napadom SolarWinds, GoldMax može generirati mrežni promet s primamljivanjem kako bi prikrio svoj zlonamjerni mrežni promet, dajući mu izgled redovitog prometa.
- Sibot: Sibot je dvostruki zlonamjerni program zasnovan na VBScriptu koji održava trajnu prisutnost na ciljnoj mreži te za preuzimanje i izvršavanje zlonamjernog tereta. Microsoft napominje da postoje tri inačice malvera Sibot, koje sve imaju malo drugačiju funkcionalnost.
- GoldFinder: Ovaj je zlonamjerni softver također napisan u programu Go. Microsoft vjeruje da je "korišten kao prilagođeni alat za praćenje HTTP-a" za bilježenje adresa poslužitelja i druge infrastrukture uključene u cyberattack.
Povezano: Microsoft otkriva stvarni cilj Cyberattacka SolarWinds
Još više dolazi od SolarWindsa
Iako Microsoft vjeruje da je faza napada SolarWindsa vjerojatno završena, više temeljne inačice infrastrukture i zlonamjernog softvera uključenih u napad još uvijek čekaju otkriće.
Uz uspostavljeni obrazac ovog glumca korištenja jedinstvene infrastrukture i alata za svaku metu, te operativnu vrijednost njihovog održavanja postojanosti na ugroženim mrežama, vjerojatno će biti otkrivene dodatne komponente kao naša istraga o postupcima ovog aktera prijetnje nastavlja.
Otkriće da još vrsta malware-a i više infrastrukture još neće biti iznenađenje za one koji prate ovu tekuću sagu. Nedavno je Microsoft otkrio druga faza SolarWindsa, detaljno opisujući kako su napadači pristupili mrežama i zadržali prisutnost tijekom dugog razdoblja u kojem su ostali neotkriveni.
Tehnički div najnovija je žrtva napada SolarWinds koji je u tijeku.
- Tehničke vijesti
- Microsoft
- Stražnja vrata
Gavin je mlađi urednik za Windows i objašnjene tehnologije, redoviti suradnik Stvarno korisnog podcasta i bio je urednik sestrinske web stranice MakeUseOf, usmjerene na kripto, Blocks Decoded. Ima BA (Hons) suvremeno pisanje s praksama digitalne umjetnosti pljačkane s brda Devona, kao i više od deset godina profesionalnog spisateljskog iskustva. Uživa u obilnim količinama čaja, društvenim igrama i nogometu.
Pretplatite se na naše obavijesti
Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!
Još jedan korak…!
Potvrdite svoju e-adresu u e-pošti koju smo vam upravo poslali.