Spoločnosť Microsoft odhalila tri novo nájdené varianty škodlivého softvéru týkajúce sa kybernetického útoku SolarWinds. Súčasne tiež dalo aktérovi hrozby za spoločnosťou SolarWinds konkrétny sledovací názov: Nobelium.
Novo zverejnené informácie poskytujú viac informácií o obrovskom kybernetickom útoku, ktorý si na svojom zozname obetí vyžiadal viac amerických vládnych agentúr.
Spoločnosť Microsoft odhaľuje viaceré varianty malvéru
V nedávnom príspevku k svojmu oficiálnemu Blog zabezpečenia spoločnosti Microsoft, spoločnosť odhalila objav ďalších troch typov malvéru týkajúcich sa kybernetického útoku SolarWinds: GoldMax, Sibota GoldFinder.
Microsoft hodnotí, že novo objavené časti škodlivého softvéru použil herec na udržanie vytrvalosti a vykonávať akcie na veľmi špecifických a cielených sieťach po kompromise, dokonca sa vyhnúť prvotnej detekcii počas incidentu odpoveď.
Nové varianty malvéru boli použité v posledných fázach útoku na SolarWinds. Podľa bezpečnostného tímu spoločnosti Microsoft sa zistilo, že nové útočné nástroje a typy škodlivého softvéru sa nachádzajú v používanie medzi augustom a septembrom 2020, ale mohlo „byť v kompromitovaných systémoch už v júni 2020."
Okrem toho sú tieto úplne nové typy škodlivého softvéru „jedinečné pre tohto aktéra“ a „šité na mieru pre konkrétne siete“, zatiaľ čo každý variant má odlišné možnosti.
- GoldMax: GoldMax je napísaný v jazyku Go a slúži ako zadný vrátok s príkazmi a riadením, ktorý skrýva škodlivé aktivity v cieľovom počítači. Ako bolo zistené pri útoku na SolarWinds, program GoldMax môže generovať návnadu sieťového prenosu, aby zamaskoval svoj škodlivý sieťový prenos a navodil tak vzhľad bežného prenosu.
- Sibot: Sibot je dvojúčelový malware založený na VBScript, ktorý udržiava trvalú prítomnosť v cieľovej sieti a umožňuje sťahovať a spúšťať škodlivé užitočné dáta. Spoločnosť Microsoft poznamenáva, že existujú tri varianty škodlivého softvéru Sibot, ktoré majú mierne odlišnú funkčnosť.
- GoldFinder: Tento malware je tiež napísaný v aplikácii Go. Spoločnosť Microsoft sa domnieva, že bola „použitá ako vlastný sledovací nástroj HTTP“ na protokolovanie adries serverov a ďalšej infraštruktúry zapojenej do kybernetického útoku.
Súvisiace: Spoločnosť Microsoft odhaľuje skutočný cieľ internetového útoku SolarWinds
Od spoločnosti SolarWinds si môžete prísť na viac
Aj keď sa spoločnosť Microsoft domnieva, že fáza útoku systému SolarWinds je pravdepodobne ukončená, ďalšie varianty základnej infraštruktúry a škodlivého softvéru zapojené do útoku stále čakajú na objavenie.
S týmto aktérom zavedený model využívania jedinečnej infraštruktúry a nástrojov pre každý cieľ a prevádzková hodnota ich udržiavania vytrvalosť v napadnutých sieťach, je pravdepodobné, že v priebehu nášho vyšetrovania akcií tohto aktéra hrozby budú objavené ďalšie komponenty pokračuje.
Odhalenie, že je stále potrebné nájsť viac typov škodlivého softvéru a viac infraštruktúry, nebude pre tých, ktorí sledujú túto pokračujúcu ságu, prekvapením. Nedávno to odhalil Microsoft druhá fáza SolarWinds, podrobne popisujúc, ako sa útočníci dostali do sietí a udržali si prítomnosť po dlhé obdobie, počas ktorého zostali nezistení.
Technologický gigant je poslednou obeťou prebiehajúceho útoku na SolarWinds.
- Tech News
- Microsoft
- Zadné dvere
Gavin je Junior Editor pre Windows a vysvetlené technológie, pravidelný prispievateľ do skutočne užitočného podcastu, a bol editorom sesterského webu MakeUseOf zameraného na kryptomeny Blocks Decoded. Má BA (Hons) súčasné písanie s praktikami digitálneho umenia drancované z kopcov Devonu a tiež viac ako desaťročie profesionálnych skúseností s písaním. Má rád veľké množstvo čaju, spoločenských hier a futbalu.
Prihlásiť sa ku odberu noviniek
Pripojte sa k nášmu bulletinu s technickými tipmi, recenziami, bezplatnými elektronickými knihami a exkluzívnymi ponukami!
Ešte jeden krok…!
V e-maile, ktorý sme vám práve poslali, potvrďte svoju e-mailovú adresu.