Microsoft revela três novas variantes de malware relacionadas ao ataque cibernético da SolarWinds
A Microsoft revelou três variantes de malware recentemente descobertas relacionadas ao ataque cibernético da SolarWinds. Ao mesmo tempo, também deu ao agente de ameaças por trás da SolarWinds um nome de rastreamento específico: Nobelium.
As informações recém-divulgadas fornecem mais informações sobre o enorme ataque cibernético que atingiu várias agências do governo dos Estados Unidos em sua lista de vítimas.
Microsoft revela várias variantes de malware
Em uma postagem recente em seu blog oficial de segurança da Microsoft , a empresa revelou a descoberta de três tipos de malware adicionais relacionados ao ataque cibernético da SolarWinds: GoldMax, Sibot e GoldFinder.
A Microsoft avalia que as peças de malware recém-surgidas foram usadas pelo ator para manter a persistência e executar ações em redes muito específicas e direcionadas após o comprometimento, evitando até mesmo a detecção inicial durante a resposta a incidentes.
As novas variantes de malware foram usadas nos últimos estágios do ataque SolarWinds. De acordo com a equipe de segurança da Microsoft, as novas ferramentas de ataque e tipos de malware foram encontrados em uso entre agosto e setembro de 2020, mas podem ter "estado em sistemas comprometidos já em junho de 2020."
Além disso, esses tipos inteiramente novos de malware são "exclusivos para este ator" e "feitos sob medida para redes específicas", enquanto cada variante tem recursos diferentes.
- GoldMax: GoldMax é escrito em Go e atua como uma porta dos fundos de comando e controle que oculta atividades maliciosas no computador de destino. Conforme descoberto com o ataque SolarWinds, o GoldMax pode gerar tráfego de rede falso para disfarçar seu tráfego de rede malicioso, dando-lhe a aparência de tráfego regular.
- Sibot: Sibot é um malware de dupla finalidade baseado em VBScript que mantém uma presença persistente na rede de destino e para baixar e executar uma carga maliciosa. A Microsoft observa que existem três variantes do malware Sibot, todas com funcionalidades ligeiramente diferentes.
- GoldFinder: este malware também é escrito em Go. A Microsoft acredita que foi "usado como uma ferramenta rastreadora de HTTP personalizada" para registrar endereços de servidor e outras infraestruturas envolvidas no ataque cibernético.
Há mais por vir da SolarWinds
Embora a Microsoft acredite que a fase de ataque do SolarWinds provavelmente tenha terminado, mais da infraestrutura subjacente e das variantes de malware envolvidas no ataque ainda estão esperando para serem descobertas.
Com o padrão estabelecido desse ator de usar infraestrutura e ferramentas exclusivas para cada alvo, e o valor operacional de manter sua persistência em redes comprometidas, é provável que componentes adicionais sejam descobertos conforme nossa investigação sobre as ações desse ator de ameaça continua.
A revelação de que mais tipos de malware e mais infraestrutura ainda serão encontrados não será uma surpresa para aqueles que acompanham essa saga em andamento. Recentemente, a Microsoft revelou a segunda fase do SolarWinds , detalhando como os invasores acessaram as redes e mantiveram uma presença pelo longo período em que permaneceram sem serem detectados.
