Microsoft разкри три новооткрити варианта на зловреден софтуер, свързани с кибератаката SolarWinds. В същото време той също така даде на актьора на заплахата зад SolarWinds конкретно име за проследяване: Nobelium.
Наскоро разкритата информация предоставя по-голяма представа за огромната кибератака, която претендира за множество американски правителствени агенции в списъка си с жертви.
Microsoft разкрива множество варианти на зловреден софтуер
В скорошна публикация до официалния му Блог на Microsoft Security, компанията разкри откритието на три допълнителни типа зловреден софтуер, свързани с кибератаката на SolarWinds: GoldMax, Sibot, и GoldFinder.
Microsoft оценява, че новопоявените парчета зловреден софтуер са били използвани от актьора за поддържане на постоянство и извършват действия в много специфични и целеви мрежи след компромис, дори избягват първоначалното откриване по време на инцидент отговор.
Новите варианти на зловреден софтуер бяха използвани в последните етапи на атаката SolarWinds. Според екипа по сигурността на Microsoft е установено, че новите инструменти за атака и типове зловреден софтуер са използване между август и септември 2020 г., но може да е било „на компрометирани системи още през юни 2020."
Освен това тези изцяло нови видове зловреден софтуер са „уникални за този актьор“ и „специално пригодени за конкретни мрежи“, докато всеки вариант има различни възможности.
- GoldMax: GoldMax е написан на Go и действа като backdoor за командване и контрол, който скрива злонамерени дейности на целевия компютър. Както беше установено при атаката SolarWinds, GoldMax може да генерира мрежов трафик, за да прикрие злонамерения си мрежов трафик, придавайки му вид на редовен трафик.
- Sibot: Sibot е базиран на VBScript малуер с двойна цел, който поддържа постоянно присъствие в целевата мрежа и за изтегляне и изпълнение на злонамерен полезен товар. Microsoft отбелязва, че има три варианта на зловредния софтуер Sibot, като всички те имат малко по-различна функционалност.
- GoldFinder: Този зловреден софтуер също е написан в Go. Microsoft смята, че е „използван като персонализиран инструмент за HTTP трасиране“ за регистриране на адреси на сървъри и друга инфраструктура, участваща в кибератаката.
Свързани: Microsoft разкрива действителната цел на Cyberattack на SolarWinds
Има още какво да дойде от SolarWinds
Въпреки че Microsoft вярва, че фазата на атака на SolarWinds вероятно е приключила, повече от основната инфраструктура и варианти на злонамерен софтуер, участващи в атаката, все още очакват откриването си.
С установения модел на този актьор за използване на уникална инфраструктура и инструменти за всяка цел и оперативната стойност на поддържането им постоянство в компрометирани мрежи, вероятно е да бъдат открити допълнителни компоненти като наше разследване за действията на този участник в заплахата продължава.
Разкритието, че все още видове зловреден софтуер и повече инфраструктура все още не са намерени, няма да бъде изненада за онези, които проследяват тази продължаваща сага. Наскоро Microsoft разкри втората фаза на SolarWinds, подробно описвайки как нападателите са осъществили достъп до мрежи и са поддържали присъствие за дългия период, в който са останали неоткрити.
Техническият гигант е последната жертва на продължаващата атака на SolarWinds.
- Технически новини
- Microsoft
- Задна врата
Гавин е младши редактор за Windows и обяснени технологии, редовен сътрудник на наистина полезния подкаст и беше редактор на сестринния сайт на MakeUseOf, фокусиран върху крипто, Blocks Decoded. Той има бакалавърска степен (Hons) за съвременно писане с практики за дигитално изкуство, отвлечена от хълмовете на Девън, както и над десетилетие професионален опит в писането. Той се радва на обилни количества чай, настолни игри и футбол.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и ексклузивни оферти!
Още една стъпка…!
Моля, потвърдете имейл адреса си в имейла, който току-що ви изпратихме.
