Microsoft je otkrio tri novopronađene inačice zlonamjernog softvera koje se odnose na cyber-napad SolarWinds. Istodobno je akteru prijetnje koji stoji iza SolarWindsa dao i određeno ime za praćenje: Nobelium.

Novootkrivene informacije pružaju bolji uvid u ogroman cyber napad, koji je na popisu žrtava zahtijevao više američkih vladinih agencija.

Microsoft otkriva više inačica zlonamjernog softvera

U nedavnom postu svom službenom Blog Microsoftove sigurnosti, tvrtka je otkrila otkriće tri dodatne vrste zlonamjernog softvera koje se odnose na cyber-napad SolarWinds: GoldMax, Sibot, i GoldFinder.

Microsoft procjenjuje da je glumac novootkrivene komade zlonamjernog softvera koristio za održavanje ustrajnosti i izvoditi akcije na vrlo specifičnim i ciljanim mrežama nakon kompromisa, čak izbjegavajući početno otkrivanje tijekom incidenta odgovor.

Nove inačice zlonamjernog softvera korištene su u kasnijim fazama napada SolarWinds. Prema Microsoftovom sigurnosnom timu utvrđeno je da postoje novi alati za napad i vrste zlonamjernog softvera koristiti između kolovoza i rujna 2020., ali je možda "bio na ugroženim sustavima već u lipnju 2020."

instagram viewer

Nadalje, ove potpuno nove vrste zlonamjernog softvera "jedinstvene su za ovog glumca" i "prilagođene određenim mrežama", dok svaka varijanta ima različite mogućnosti.

  • GoldMax: GoldMax je napisan u programu Go i djeluje kao sigurnosna vrata naredbe i kontrole koja skriva zlonamjerne aktivnosti na ciljnom računalu. Kao što je utvrđeno napadom SolarWinds, GoldMax može generirati mrežni promet s primamljivanjem kako bi prikrio svoj zlonamjerni mrežni promet, dajući mu izgled redovitog prometa.
  • Sibot: Sibot je dvostruki zlonamjerni program zasnovan na VBScriptu koji održava trajnu prisutnost na ciljnoj mreži te za preuzimanje i izvršavanje zlonamjernog tereta. Microsoft napominje da postoje tri inačice malvera Sibot, koje sve imaju malo drugačiju funkcionalnost.
  • GoldFinder: Ovaj je zlonamjerni softver također napisan u programu Go. Microsoft vjeruje da je "korišten kao prilagođeni alat za praćenje HTTP-a" za bilježenje adresa poslužitelja i druge infrastrukture uključene u cyberattack.

Povezano: Microsoft otkriva stvarni cilj Cyberattacka SolarWinds

Još više dolazi od SolarWindsa

Iako Microsoft vjeruje da je faza napada SolarWindsa vjerojatno završena, više temeljne inačice infrastrukture i zlonamjernog softvera uključenih u napad još uvijek čekaju otkriće.

Uz uspostavljeni obrazac ovog glumca korištenja jedinstvene infrastrukture i alata za svaku metu, te operativnu vrijednost njihovog održavanja postojanosti na ugroženim mrežama, vjerojatno će biti otkrivene dodatne komponente kao naša istraga o postupcima ovog aktera prijetnje nastavlja.

Otkriće da još vrsta malware-a i više infrastrukture još neće biti iznenađenje za one koji prate ovu tekuću sagu. Nedavno je Microsoft otkrio druga faza SolarWindsa, detaljno opisujući kako su napadači pristupili mrežama i zadržali prisutnost tijekom dugog razdoblja u kojem su ostali neotkriveni.

E-mail
Microsoft potvrđuje da SolarWinds krši ključne proizvode koji utječu na kršenje pravila

Tehnički div najnovija je žrtva napada SolarWinds koji je u tijeku.

Povezane teme
  • Tehničke vijesti
  • Microsoft
  • Stražnja vrata
O autoru
Gavin Phillips (Objavljeno 765 članaka)

Gavin je mlađi urednik za Windows i objašnjene tehnologije, redoviti suradnik Stvarno korisnog podcasta i bio je urednik sestrinske web stranice MakeUseOf, usmjerene na kripto, Blocks Decoded. Ima BA (Hons) suvremeno pisanje s praksama digitalne umjetnosti pljačkane s brda Devona, kao i više od deset godina profesionalnog spisateljskog iskustva. Uživa u obilnim količinama čaja, društvenim igrama i nogometu.

Više od Gavina Phillipsa

Pretplatite se na naše obavijesti

Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!

Još jedan korak…!

Potvrdite svoju e-adresu u e-pošti koju smo vam upravo poslali.

.