Microsoft je razkril tri novo najdene različice zlonamerne programske opreme, povezane s kibernetskim napadom SolarWinds. Hkrati je akterju grožnje, ki stoji za SolarWinds, določil tudi posebno ime za sledenje: Nobelium.
Novo razkrite informacije omogočajo boljši vpogled v ogromen kibernetski napad, ki je na seznamu žrtev zahteval več ameriških vladnih agencij.
Microsoft razkril več različic zlonamerne programske opreme
V nedavnem prispevku uradniku Spletni dnevnik Microsoft Security, je podjetje razkrilo odkritje treh dodatnih vrst zlonamerne programske opreme, povezanih s kibernetskim napadom SolarWinds: GoldMax, Sibot, in GoldFinder.
Microsoft ocenjuje, da je igralec na novo prikazane koščke zlonamerne programske opreme ohranil obstojnost in izvajati ukrepe na zelo specifičnih in ciljno usmerjenih omrežjih po kompromisu, celo izogibati se začetnemu zaznavanju med incidentom odziv.
Nove različice zlonamerne programske opreme so bile uporabljene v zadnjih fazah napada SolarWinds. Po navedbah Microsoftove varnostne skupine je bilo ugotovljeno, da obstajajo nova orodja za napade in zlonamerna programska oprema uporaba med avgustom in septembrom 2020, vendar je bila "morda že v juniju na ogroženih sistemih 2020."
Poleg tega so te popolnoma nove vrste zlonamerne programske opreme "edinstvene za tega akterja" in "prilagojene določenim omrežjem", medtem ko ima vsaka različica različne zmogljivosti.
- GoldMax: GoldMax je napisan v jeziku Go in deluje kot ukaz in nadzorna stranska vrata, ki skriva zlonamerne dejavnosti v ciljnem računalniku. Kot smo ugotovili z napadom SolarWinds, lahko GoldMax ustvari mrežni promet z vabami, da prikrije svoj zlonamerni omrežni promet in mu daje videz rednega prometa.
- Sibot: Sibot je dvonamenska zlonamerna programska oprema, ki temelji na VBScript in ohranja stalno prisotnost v ciljnem omrežju ter za prenos in izvajanje zlonamernega tovora. Microsoft ugotavlja, da obstajajo tri različice zlonamerne programske opreme Sibot, ki imajo vse nekoliko drugačne funkcije.
- GoldFinder: Ta zlonamerna programska oprema je napisana tudi v programu Go. Microsoft verjame, da je bil "uporabljen kot orodje za sledenje HTTP po meri" za beleženje naslovov strežnikov in druge infrastrukture, ki sodeluje pri kibernetskem napadu.
Sorodno: Microsoft razkril dejanski cilj SolarWinds Cyberattack
Iz SolarWindsa nas čaka še več
Čeprav Microsoft verjame, da je faza napada na SolarWinds verjetno končana, več temeljne različice infrastrukture in zlonamerne programske opreme, vključene v napad, še čakajo na odkritje.
Z uveljavljenim vzorcem tega akterja uporabe edinstvene infrastrukture in orodja za posamezne cilje ter operativno vrednostjo njihovega vzdrževanja Vztrajanje v ogroženih omrežjih bo verjetno odkrilo dodatne komponente kot naša preiskava ukrepov tega akterja grožnje nadaljuje.
Razkritje, da je še vedno mogoče najti več vrst zlonamerne programske opreme in več infrastrukture, ne bo presenetilo tistih, ki spremljajo to stalno sago. Pred kratkim je Microsoft razkril druga faza SolarWindsa, v katerem so podrobno opisali, kako so napadalci dostopali do omrežij in ohranili prisotnost dolgo časa, ko so ostali neopaženi.
Tehnični velikan je zadnja žrtev trenutnega napada SolarWinds.
- Tehnične novice
- Microsoft
- Zadnja vrata
Gavin je mlajši urednik za Windows in razloženo tehnologijo, redni sodelavec za zelo uporaben podcast in je bil urednik za sestrsko spletno stran MakeUseOf, Blocks Decoded. Ima BA (odlikovanje) za sodobno pisanje z digitalnimi umetniškimi praksami, razvitim s hribov Devona, in več kot desetletje poklicnih izkušenj s pisanjem. Uživa obilno količino čaja, družabne igre in nogomet.
Naročite se na naše novice
Pridružite se našemu glasilu za tehnične nasvete, preglede, brezplačne e-knjige in ekskluzivne ponudbe!
Še en korak…!
Potrdite svoj e-poštni naslov v e-poštnem sporočilu, ki smo vam ga pravkar poslali.
