Стало известно о трех новых вредоносах, использованных в атаке на SolarWinds

Стало известно о трех новых вредоносах, использованных в атаке на SolarWinds

В общей сложности было обнаружено три вида вредоносных программы — GoldMax, Sibot и GoldFinger.

image

Исследователи безопасности из компаний Microsoft и FireEye опубликовали отдельные отчеты с подробным описанием новых вариантов вредоносных программ, которые были использованы злоумышленниками в рамках атаки на цепочку поставок SolarWinds и ее клиентов в 2020 году. Для описания киберпреступной группировки, ответственной за данную атаку, специалисты Microsoft дали ей кодовое название Nobelium.

В общей сложности было обнаружено три вредоносных программ:

• GoldMax — бэкдор, написанный на языке программирования Go, который злоумышленники использовали для выполнения различных команд на скомпрометированных системах. Эта же вредоносная программа подробно описана в отчете FireEye под названием SUNSHUTTLE.

• Sibot — вредоносное ПО, написанное на языке сценариев ПО VBScript, предназначенное для обеспечения персистентности загрузки на зараженных системах. В общей сложности было выявлено три различных варианта данного вредоноса.

• GoldFinger — еще одно вредоносное ПО на языке Go, которое использовалось хакерами в качестве средства трассировки HTTP для регистрации маршрута пакетов, чтобы добраться до встроенного C&C-сервера с зараженного хоста.

Данные вредоносы пополнили список хакерских программ, использованных преступниками в ходе атаки на SolarWinds, который уже включает Sunspot (развернутое во внутренней сети SolarWinds ПО для отравления процесса сборки приложения Orion), Solorigate/Sunburst (инструмент разведки), Teardrop (бэкдор для выполнения других команд) и Raindrop (бэкдор второго уровня, развернутый в некоторых сетях вместо Teardrop).

«На всех этапах атаки злоумышленник продемонстрировал глубокое знание программных инструментов, развертываний, программного обеспечения безопасности и систем, распространенных в сетях, а также методов, часто используемых группами реагирования на инциденты. Эти знания отражаются в операционных решениях субъекта, от выбора инфраструктуры C&C-сервера до наименования запланированных задач, используемых для поддержания устойчивости», — пояснили специалисты.

История Ричарда Столмана - от любви до ненависти. Раскрыты подробности уплаты выкупа вымогателям а киберграбители взялись за цифровое искусство. Смотрите 12 выпуск security-новостей на нашем Youtube канале.