Microsoft heeft drie nieuw gevonden malwarevarianten onthuld met betrekking tot de SolarWinds-cyberaanval. Tegelijkertijd heeft het de dreigingsacteur achter SolarWinds ook een specifieke trackingnaam gegeven: Nobelium.
De nieuw onthulde informatie geeft meer inzicht in de enorme cyberaanval die meerdere Amerikaanse overheidsinstanties op hun slachtofferslijst claimde.
Microsoft onthult meerdere malwarevarianten
In een recent bericht aan zijn ambtenaar Microsoft-beveiligingsblog, onthulde het bedrijf de ontdekking van drie extra malwaretypen met betrekking tot de SolarWinds-cyberaanval: GoldMax, Sibot, en GoldFinder.
Microsoft is van mening dat de nieuw opgedoken malware door de actor is gebruikt om persistentie te behouden en voer acties uit op zeer specifieke en gerichte netwerken na een besmetting, en ontwijk zelfs de initiële detectie tijdens incidenten reactie.
De nieuwe malwarevarianten werden gebruikt in de laatste stadia van de SolarWinds-aanval. Volgens het Microsoft-beveiligingsteam bleken de nieuwe aanvalstools en malwaretypen aanwezig te zijn gebruik tussen augustus en september 2020, maar mogelijk al in juni op gecompromitteerde systemen 2020."
Bovendien zijn deze geheel nieuwe soorten malware "uniek voor deze actor" en "op maat gemaakt voor specifieke netwerken", terwijl elke variant andere mogelijkheden heeft.
- GoldMax: GoldMax is geschreven in Go en fungeert als een command and control backdoor die kwaadaardige activiteiten op de doelcomputer verbergt. Zoals gevonden bij de SolarWinds-aanval, kan GoldMax afleidend netwerkverkeer genereren om het kwaadaardige netwerkverkeer te verhullen, waardoor het de indruk krijgt van normaal verkeer.
- Sibot: Sibot is een op VBScript gebaseerde dual-purpose malware die permanent aanwezig is op het doelnetwerk en om een kwaadaardige payload te downloaden en uit te voeren. Microsoft merkt op dat er drie varianten van de Sibot-malware zijn, die allemaal een iets andere functionaliteit hebben.
- GoldFinder: Deze malware is ook geschreven in Go. Microsoft gelooft dat het werd "gebruikt als een aangepaste HTTP-tracer-tool" voor het loggen van serveradressen en andere infrastructuur die betrokken is bij de cyberaanval.
Verwant: Microsoft onthult het werkelijke doelwit van de SolarWinds-cyberaanval
Er komt nog meer van SolarWinds
Hoewel Microsoft gelooft dat de aanvalsfase van SolarWinds waarschijnlijk is afgelopen, wachten meer van de onderliggende infrastructuur- en malwarevarianten die bij de aanval zijn betrokken nog op ontdekking.
Met het gevestigde patroon van deze actor om unieke infrastructuur en tooling voor elk doel te gebruiken, en de operationele waarde van het behouden van hun persistentie op gecompromitteerde netwerken, is het waarschijnlijk dat aanvullende componenten zullen worden ontdekt als ons onderzoek naar de acties van deze bedreigingsactor gaat verder.
De onthulling dat er nog meer malwaretypen en meer infrastructuur moeten worden gevonden, zal geen verrassing zijn voor degenen die dit voortdurende verhaal volgen. Onlangs heeft Microsoft onthuld de tweede fase van SolarWinds, waarin wordt beschreven hoe de aanvallers toegang hebben gekregen tot netwerken en aanwezig bleven gedurende de lange periode dat ze onopgemerkt bleven.
De techgigant is het laatste slachtoffer van de aanhoudende SolarWinds-aanval.
- Tech Nieuws
- Microsoft
- Achterdeur
Gavin is de Junior Editor voor Windows en Technology Explained, levert regelmatig bijdragen aan de Really Useful Podcast en was de Editor voor MakeUseOf's cryptogerichte zustersite Blocks Decoded. Hij heeft een BA (Hons) Contemporary Writing with Digital Art Practices geplunderd in de heuvels van Devon, evenals meer dan een decennium aan professionele schrijfervaring. Hij geniet van overvloedige hoeveelheden thee, bordspellen en voetbal.
Abonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Nog een stap…!
Bevestig uw e-mailadres in de e-mail die we u zojuist hebben gestuurd.