Η Microsoft αποκαλύπτει 3 νέες παραλλαγές κακόβουλου λογισμικού που σχετίζονται με το SolarWinds Cyberattack

Η Microsoft αποκάλυψε τρεις νέες παραλλαγές κακόβουλου λογισμικού που σχετίζονται με την ηλεκτρονική επίθεση SolarWinds. Ταυτόχρονα, έδωσε επίσης στον απειλή του ηθοποιού πίσω από το SolarWinds ένα συγκεκριμένο όνομα παρακολούθησης: Nobelium.

Οι πρόσφατα αποκαλυφθείσες πληροφορίες παρέχουν περισσότερες πληροφορίες για την τεράστια επίθεση στον κυβερνοχώρο που διεκδίκησε πολλές κυβερνητικές υπηρεσίες των ΗΠΑ στη λίστα θυμάτων της.

Η Microsoft αποκαλύπτει πολλές παραλλαγές κακόβουλου λογισμικού

Σε πρόσφατη δημοσίευση στον επίσημο Ιστολόγιο ασφαλείας Microsoft, η εταιρεία αποκάλυψε την ανακάλυψη τριών επιπλέον τύπων κακόβουλου λογισμικού που σχετίζονται με την ηλεκτρονική επίθεση SolarWinds: GoldMax, Sibot, και GoldFinder.

Η Microsoft εκτιμά ότι τα πρόσφατα εμφανιζόμενα τμήματα κακόβουλου λογισμικού χρησιμοποιήθηκαν από τον ηθοποιό για να διατηρήσουν την επιμονή και εκτελεί ενέργειες σε πολύ συγκεκριμένα και στοχευμένα δίκτυα μετά από συμβιβασμό, ακόμη και αποφεύγοντας την αρχική ανίχνευση κατά τη διάρκεια συμβάντος απάντηση.

Οι νέες παραλλαγές κακόβουλου λογισμικού χρησιμοποιήθηκαν στα τελευταία στάδια της επίθεσης SolarWinds. Σύμφωνα με την ομάδα ασφαλείας της Microsoft, τα νέα εργαλεία επίθεσης και οι τύποι κακόβουλου λογισμικού βρέθηκαν να βρίσκονται χρήση από τον Αύγουστο έως τον Σεπτέμβριο του 2020, αλλά μπορεί να έχει χρησιμοποιηθεί σε παραβιασμένα συστήματα ήδη από τον Ιούνιο 2020."

Επιπλέον, αυτοί οι εντελώς νέοι τύποι κακόβουλου λογισμικού είναι "μοναδικοί σε αυτόν τον ηθοποιό" και "προσαρμοσμένοι σε συγκεκριμένα δίκτυα", ενώ κάθε παραλλαγή έχει διαφορετικές δυνατότητες.

• GoldMax: Το GoldMax γράφεται στο Go και λειτουργεί ως backdoor εντολών και ελέγχου που κρύβει κακόβουλες δραστηριότητες στον υπολογιστή προορισμού. Όπως διαπιστώθηκε με την επίθεση SolarWinds, το GoldMax μπορεί να δημιουργήσει επισκεψιμότητα στο δίκτυο για να συγκαλύψει την κακόβουλη κίνηση του δικτύου, δίνοντάς του την εμφάνιση της κανονικής κίνησης.
• Sibot: Το Sibot είναι ένα κακόβουλο λογισμικό διπλής χρήσης που βασίζεται σε VBScript και διατηρεί επίμονη παρουσία στο δίκτυο προορισμού και για λήψη και εκτέλεση κακόβουλου ωφέλιμου φορτίου. Η Microsoft σημειώνει ότι υπάρχουν τρεις παραλλαγές του κακόβουλου λογισμικού Sibot, οι οποίες έχουν ελαφρώς διαφορετική λειτουργικότητα.
• GoldFinder: Αυτό το κακόβουλο λογισμικό είναι επίσης γραμμένο στο Go. Η Microsoft πιστεύει ότι "χρησιμοποιήθηκε ως ένα προσαρμοσμένο εργαλείο εντοπισμού HTTP" για την καταγραφή διευθύνσεων διακομιστή και άλλων υποδομών που εμπλέκονται στην κυβερνοεπίθεση.

Σχετιζομαι με: Η Microsoft αποκαλύπτει τον πραγματικό στόχο της SolarWinds Cyberattack

Υπάρχουν ακόμη πολλά να προέλθουν από τα SolarWinds

Παρόλο που η Microsoft πιστεύει ότι η φάση επίθεσης των SolarWinds πιθανότατα έχει ολοκληρωθεί, περισσότερες από τις υποκείμενες παραλλαγές υποδομής και κακόβουλου λογισμικού που εμπλέκονται στην επίθεση εξακολουθούν να περιμένουν ανακάλυψη.

Με το καθιερωμένο μοτίβο αυτού του ηθοποιού να χρησιμοποιεί μοναδικές υποδομές και εργαλεία για κάθε στόχο, και τη λειτουργική αξία της διατήρησής τους επιμονή σε παραβιασμένα δίκτυα, είναι πιθανό ότι θα ανακαλυφθούν πρόσθετα στοιχεία κατά την έρευνά μας για τις ενέργειες αυτού του παράγοντα απειλής συνεχίζει.

Η αποκάλυψη ότι περισσότεροι τύποι κακόβουλου λογισμικού και περισσότερη υποδομή δεν έχουν βρεθεί δεν θα αποτελέσει έκπληξη για όσους παρακολουθούν αυτό το συνεχιζόμενο έπος. Πρόσφατα, η Microsoft αποκάλυψε η δεύτερη φάση του SolarWinds, περιγράφοντας λεπτομερώς τον τρόπο με τον οποίο οι εισβολείς είχαν πρόσβαση στα δίκτυα και διατήρησαν την παρουσία τους για μεγάλο χρονικό διάστημα που παρέμειναν απαρατήρητοι.

Η Microsoft επιβεβαιώνει την παραβίαση της SolarWinds που επηρεάζει τα βασικά προϊόντα

Ο τεχνολογικός γίγαντας είναι το τελευταίο θύμα της συνεχιζόμενης επίθεσης SolarWinds.

Σχετικά με τον Συγγραφέα