Microsoft раскрывает 3 новых варианта вредоносного ПО, связанного с кибератакой SolarWinds

Microsoft обнаружила три недавно обнаруженных варианта вредоносного ПО, связанных с кибератакой SolarWinds. В то же время он также дал злоумышленнику, стоящему за SolarWinds, особое отслеживающее имя: Nobelium.

Недавно раскрытая информация дает больше информации об огромной кибератаке, жертвами которой стали несколько агентств правительства США.

Microsoft раскрывает несколько вариантов вредоносного ПО

В недавнем сообщении своему официальному Блог о безопасности Microsoft, компания обнаружила три дополнительных типа вредоносных программ, связанных с кибератакой SolarWinds: GoldMax, Sibot, и GoldFinder.

По оценке Microsoft, злоумышленник использовал недавно обнаруженные вредоносные программы для сохранения устойчивости и выполнять действия в очень конкретных и целевых сетях после взлома, даже уклоняясь от первоначального обнаружения во время инцидента отклик.

Новые варианты вредоносного ПО использовались на последних этапах атаки SolarWinds. По данным службы безопасности Microsoft, новые инструменты атак и типы вредоносных программ были обнаружены в использовались в период с августа по сентябрь 2020 г., но, возможно, "были" в скомпрометированных системах еще в июне 2020."

Кроме того, эти совершенно новые типы вредоносных программ «уникальны для этого субъекта» и «созданы специально для конкретных сетей», в то время как каждый вариант имеет разные возможности.

• GoldMax: GoldMax написан на Go и действует как бэкдор управления и контроля, скрывающий вредоносные действия на целевом компьютере. Как было обнаружено с помощью атаки SolarWinds, GoldMax может генерировать ложный сетевой трафик, чтобы замаскировать свой вредоносный сетевой трафик, придавая ему видимость обычного трафика.
• Сибо: Sibot - это вредоносная программа двойного назначения на основе VBScript, которая поддерживает постоянное присутствие в целевой сети, а также загружает и выполняет вредоносную полезную нагрузку. Microsoft отмечает, что существует три варианта вредоносной программы Sibot, каждая из которых имеет немного разные функции.
• GoldFinder: Эта вредоносная программа также написана на Go. Microsoft считает, что он «использовался как специальный инструмент отслеживания HTTP» для регистрации адресов серверов и другой инфраструктуры, задействованной в кибератаке.

Связанный: Microsoft раскрыла фактическую цель кибератаки SolarWinds

SolarWinds - это еще не все

Хотя Microsoft считает, что этап атаки SolarWinds, вероятно, завершен, большая часть базовой инфраструктуры и вариантов вредоносного ПО, задействованных в атаке, все еще ожидает обнаружения.

С установленной схемой использования этим субъектом уникальной инфраструктуры и инструментов для каждой цели, а также с оперативной ценностью поддержания их настойчивость в скомпрометированных сетях, вполне вероятно, что дополнительные компоненты будут обнаружены по мере нашего расследования действий этого злоумышленника продолжается.

Открытие того, что еще предстоит найти больше типов вредоносных программ и больше инфраструктуры, не станет сюрпризом для тех, кто следит за этой продолжающейся сагой. Недавно Microsoft раскрыла Вторая фаза SolarWindsс подробным описанием того, как злоумышленники получали доступ к сетям и сохраняли присутствие в течение длительного периода, когда они оставались незамеченными.

Microsoft подтверждает, что уязвимость SolarWinds затронула основные продукты

Технический гигант стал последней жертвой продолжающейся атаки SolarWinds.

Об авторе