Microsoft har avslöjat tre nyss hittade malware-varianter relaterade till SolarWinds cyberattack. Samtidigt har det också gett hotaktören bakom SolarWinds ett specifikt spårningsnamn: Nobelium.

Den nyligen avslöjade informationen ger mer insikt i den enorma cyberattack som hävdade flera amerikanska myndigheter i sin offerlista.

Microsoft avslöjar flera skadliga programvarianter

I ett nyligen inlägg till sin tjänsteman Microsofts säkerhetsblogg, avslöjade företaget upptäckten av ytterligare tre typer av skadlig programvara som rör cyberattacken SolarWinds: GoldMax, Sibotoch GoldFinder.

Microsoft bedömer att de nyligen uppkomna skadliga programmen användes av skådespelaren för att upprätthålla uthållighet och utföra åtgärder på mycket specifika och riktade nätverk efter kompromiss, till och med undvika initial upptäckt under en incident svar.

De nya skadliga varianterna användes i de senare stadierna av SolarWinds-attacken. Enligt Microsofts säkerhetsteam befanns de nya attackverktygen och malware-typerna finnas i användning mellan augusti och september 2020 men kan ha "varit på komprometterade system redan i juni 2020."

instagram viewer

Dessutom är dessa helt nya typer av skadlig programvara "unika för denna aktör" och "skräddarsydda för specifika nätverk", medan varje variant har olika funktioner.

  • GoldMax: GoldMax är skrivet i Go och fungerar som en bakdörr för kommando och kontroll som döljer skadliga aktiviteter på måldatorn. Som det hittades med SolarWinds-attacken kan GoldMax generera lura-nätverkstrafik för att dölja sin skadliga nätverkstrafik, vilket ger utseendet på vanlig trafik.
  • Sibot: Sibot är en VBScript-baserad malware med dubbla ändamål som upprätthåller en ihållande närvaro i målnätverket och för att ladda ner och utföra en skadlig nyttolast. Microsoft noterar att det finns tre varianter av Sibot-skadlig programvara, som alla har lite olika funktioner.
  • GoldFinder: Denna skadliga kod är också skriven i Go. Microsoft tror att det "användes som ett anpassat HTTP-spårningsverktyg" för att logga serveradresser och annan infrastruktur som är inblandad i cyberattacken.

Relaterad: Microsoft avslöjar faktiskt mål för SolarWinds cyberattack

Det finns mer att komma från SolarWinds

Även om Microsoft tror att attackfasen av SolarWinds sannolikt är klar, väntar fortfarande flera underliggande infrastruktur- och skadliga varianter som är involverade i attacken på upptäckt.

Med denna skådespelares etablerade mönster för att använda unik infrastruktur och verktyg för varje mål, och det operativa värdet av att upprätthålla deras uthållighet på komprometterade nätverk, är det troligt att ytterligare komponenter kommer att upptäckas som vår undersökning av åtgärderna från denna hotaktör fortsätter.

Uppenbarelsen att fler skadliga programtyper och mer infrastruktur ännu inte finns kommer inte att bli en överraskning för dem som spårar denna pågående saga. Nyligen avslöjade Microsoft SolarWinds andra fas, som beskriver hur angriparna kom åt nätverk och behöll en närvaro under den långa period de förblev oupptäckta.

E-post
Microsoft bekräftar SolarWinds brott som påverkar kärnprodukter

Teknikjätten är det senaste offret för den pågående SolarWinds-attacken.

Relaterade ämnen
  • Tekniska nyheter
  • Microsoft
  • Bakdörr
Om författaren
Gavin Phillips (765 publicerade artiklar)

Gavin är Junior Editor för Windows och Technology Explained, en regelbunden bidragsgivare till den riktigt användbara podcasten, och var redaktör för MakeUseOfs kryptofokuserade systersida, Blocks Decoded. Han har en BA (Hons) samtida skrivning med digital konstpraxis som plundras från Devons kullar, samt över ett decennium av professionell skriverfarenhet. Han gillar stora mängder te, brädspel och fotboll.

Mer från Gavin Phillips

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!

Ett steg till…!

Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.

.