A Microsoft 3 új kártevő változatot tárt fel a SolarWinds kiberatámadással kapcsolatban

A Microsoft három, a SolarWinds kiber támadással kapcsolatos új, rosszindulatú program-változatot tárt fel. Ugyanakkor a SolarWinds mögött álló fenyegetõ szereplõnek egy konkrét követési nevet is adott: Nobelium.

Az újonnan nyilvánosságra hozott információk nagyobb betekintést nyújtanak a hatalmas kibertámadásba, amely áldozatainak listáján több amerikai kormányzati szervet követelt.

A Microsoft több kártevő változatot tár fel

Legutóbbi bejegyzésében hivatalnokának Microsoft Security blog, a vállalat három további rosszindulatú program felfedezését tárta fel a SolarWinds kiber támadással kapcsolatban: GoldMax, Sibot, és GoldFinder.

A Microsoft úgy értékeli, hogy az újonnan felszínre került rosszindulatú programokat a színész a kitartás fenntartására használta és a kompromisszumot követően nagyon specifikus és célzott hálózatokon hajtson végre műveleteket, még az incidens során történő első észlelés elkerülése érdekében is válasz.

Az új kártevő-változatokat a SolarWinds támadás utolsó szakaszában használták. A Microsoft biztonsági csapata szerint kiderült, hogy az új támadási eszközök és rosszindulatú programok megtalálhatók benne 2020 augusztusa és szeptembere között használta, de lehet, hogy "már júniusban a kompromittált rendszereken volt 2020."

Ezenkívül ezek a teljesen új típusú rosszindulatú programok "egyedülállóak ennek a szereplőnek" és "egyedi hálózatokra vannak szabva", miközben mindegyik változat más-más képességekkel rendelkezik.

• GoldMax: A GoldMax a Go-ba van írva, és parancs- és vezérlő hátsó ajtóként működik, amely elrejti a kártékony tevékenységeket a célszámítógépen. Amint azt a SolarWinds támadás során tapasztaltuk, a GoldMax csaló hálózati forgalmat generálhat, hogy leplezze rosszindulatú hálózati forgalmát, ezáltal rendszeres forgalomnak tűnik.
• Sibot: A Sibot egy VBScript alapú kettős rendeltetésű kártevő, amely állandó jelenlétet tart fenn a célhálózaton, valamint rosszindulatú hasznos terhelés letöltéséhez és végrehajtásához. A Microsoft megjegyzi, hogy a Sibot kártevőnek három változata létezik, amelyek mindegyike kissé eltérő funkcionalitással rendelkezik.
• GoldFinder: Ezt a rosszindulatú programot a Go is megírta. A Microsoft úgy véli, hogy "egyéni HTTP nyomkövető eszközként használták" a kiber támadásban részt vevő szerver címek és más infrastruktúra naplózásához.

Összefüggő: A Microsoft feltárta a SolarWinds Cyberattack tényleges célját

Még több jöhet a SolarWindsből

Bár a Microsoft úgy véli, hogy a SolarWinds támadási szakasza valószínűleg befejeződött, a támadásban részt vevő mögöttes infrastruktúra és rosszindulatú programok több változata még mindig felfedezésre vár.

Ennek a színésznek a kialakult mintája az egyedi infrastruktúra és az egyes célok szerszámainak használata, valamint a célok fenntartásának operatív értéke a veszélyeztetett hálózatokon való kitartás miatt valószínűleg további összetevőket fedeznek fel, amikor a fenyegetett szereplő cselekedeteivel kapcsolatos vizsgálataink során felmerül a vizsgálat folytatódik.

Az a kinyilatkoztatás, miszerint még több rosszindulatú programtípus és több infrastruktúra található, még nem fog meglepetést okozni azoknak, akik nyomon követik ezt a folyamatban lévő saga-t. Nemrégiben a Microsoft elárulta a SolarWinds második fázisa, részletesen bemutatva, hogy a támadók miként jutottak el a hálózatokhoz, és hogyan tartották fenn a jelenlétet addig a hosszú ideig, amíg észrevétlenül maradtak.

A Microsoft megerősíti, hogy a SolarWinds megsértése befolyásolja az alaptermékeket

A technológiai óriás a folyamatban lévő SolarWinds támadás legújabb áldozata.

A szerzőről