Microsoft раскрывает 3 новых варианта вредоносного ПО, связанного с кибератакой SolarWinds
Microsoft обнаружила три недавно обнаруженных варианта вредоносного ПО, связанных с кибератакой SolarWinds. В то же время он также дал злоумышленнику, стоящему за SolarWinds, особое отслеживающее имя: Nobelium.
Недавно раскрытая информация дает больше информации об огромной кибератаке, жертвами которой стали несколько агентств правительства США.
Microsoft раскрывает несколько вариантов вредоносного ПО
В недавнем сообщении в официальном блоге Microsoft Security компания сообщила об обнаружении трех дополнительных типов вредоносных программ, связанных с кибератакой SolarWinds : GoldMax , Sibot и GoldFinder.
Microsoft оценивает, что недавно обнаруженные вредоносные программы использовались субъектом для поддержания устойчивости и выполнения действий в очень конкретных и целевых сетях после взлома, даже избегая первоначального обнаружения во время реагирования на инцидент.
Новые варианты вредоносного ПО использовались на последних этапах атаки SolarWinds. По данным службы безопасности Microsoft, новые инструменты атак и типы вредоносного ПО использовались в период с августа по сентябрь 2020 года, но, возможно, «были в скомпрометированных системах еще в июне 2020 года».
Кроме того, эти совершенно новые типы вредоносных программ «уникальны для этого субъекта» и «созданы специально для конкретных сетей», в то время как каждый вариант имеет разные возможности.
- GoldMax: GoldMax написан на Go и действует как бэкдор управления и контроля, скрывающий вредоносные действия на целевом компьютере. Как было обнаружено с помощью атаки SolarWinds, GoldMax может генерировать ложный сетевой трафик, чтобы замаскировать свой вредоносный сетевой трафик, придавая ему видимость обычного трафика.
- Sibot: Sibot – это вредоносная программа двойного назначения на основе VBScript, которая поддерживает постоянное присутствие в целевой сети, а также загружает и выполняет вредоносную полезную нагрузку. Microsoft отмечает, что существует три варианта вредоносной программы Sibot, каждая из которых имеет немного разные функции.
- GoldFinder: это вредоносное ПО также написано на Go. Microsoft считает, что он «использовался как специальный инструмент отслеживания HTTP» для регистрации адресов серверов и другой инфраструктуры, задействованной в кибератаке.
SolarWinds – это еще не все
Хотя Microsoft считает, что этап атаки SolarWinds, вероятно, завершен, большая часть базовой инфраструктуры и вариантов вредоносного ПО, задействованных в атаке, все еще ожидает обнаружения.
С учетом установленного этим субъектом паттерна использования уникальной инфраструктуры и инструментов для каждой цели, а также эксплуатационной ценности поддержания их устойчивости в скомпрометированных сетях, вероятно, что дополнительные компоненты будут обнаружены по мере продолжения нашего расследования действий этого субъекта угрозы.
Открытие того, что еще предстоит найти больше типов вредоносных программ и больше инфраструктуры, не станет сюрпризом для тех, кто следит за этой продолжающейся сагой. Недавно Microsoft раскрыла вторую фазу SolarWinds , подробно описав, как злоумышленники получали доступ к сетям и сохраняли присутствие в течение длительного периода, когда они оставались незамеченными.