Microsoft enthüllt 3 neue Malware-Varianten im Zusammenhang mit SolarWinds Cyberattack
Microsoft hat drei neu gefundene Malware-Varianten im Zusammenhang mit dem Cyberangriff von SolarWinds veröffentlicht. Gleichzeitig hat es dem Bedrohungsakteur hinter SolarWinds einen bestimmten Tracking-Namen gegeben: Nobelium.
Die neu veröffentlichten Informationen bieten mehr Einblick in den enormen Cyberangriff, bei dem mehrere US-Regierungsbehörden auf der Opferliste standen.
Microsoft enthüllt mehrere Malware-Varianten
In einem kürzlich veröffentlichten Beitrag in seinem offiziellen Microsoft Security-Blog enthüllte das Unternehmen die Entdeckung von drei zusätzlichen Malware-Typen im Zusammenhang mit dem Cyberangriff von SolarWinds: GoldMax, Sibot und GoldFinder.
Microsoft geht davon aus, dass die neu aufgetauchten Malware-Elemente vom Akteur verwendet wurden, um die Persistenz aufrechtzuerhalten und Aktionen in sehr spezifischen und zielgerichteten Netzwerken nach dem Kompromiss auszuführen, und sogar der anfänglichen Erkennung während der Reaktion auf Vorfälle zu entgehen.
Die neuen Malware-Varianten wurden in den letzten Phasen des SolarWinds-Angriffs verwendet. Laut dem Microsoft-Sicherheitsteam wurden die neuen Angriffstools und Malware-Typen zwischen August und September 2020 verwendet, möglicherweise jedoch "bereits im Juni 2020 auf kompromittierten Systemen".
Darüber hinaus sind diese völlig neuen Arten von Malware "einzigartig für diesen Akteur" und "maßgeschneidert für bestimmte Netzwerke", während jede Variante unterschiedliche Funktionen aufweist.
- GoldMax: GoldMax ist in Go geschrieben und fungiert als Befehls- und Steuerungs-Hintertür, die böswillige Aktivitäten auf dem Zielcomputer verbirgt. Wie beim SolarWinds-Angriff festgestellt, kann GoldMax Täuschungsnetzwerkverkehr generieren, um den böswilligen Netzwerkverkehr zu verschleiern und den Anschein von normalem Verkehr zu erwecken.
- Sibot: Sibot ist eine VBScript-basierte Malware für zwei Zwecke, die eine dauerhafte Präsenz im Zielnetzwerk aufrechterhält und eine böswillige Nutzlast herunterlädt und ausführt. Microsoft stellt fest, dass es drei Varianten der Sibot-Malware gibt, die alle leicht unterschiedliche Funktionen haben.
- GoldFinder: Diese Malware ist auch in Go geschrieben. Microsoft glaubt, dass es "als benutzerdefiniertes HTTP-Tracer-Tool" zum Protokollieren von Serveradressen und anderen am Cyberangriff beteiligten Infrastrukturen verwendet wurde.
SolarWinds bietet noch mehr
Obwohl Microsoft der Ansicht ist, dass die Angriffsphase von SolarWinds wahrscheinlich abgeschlossen ist, warten noch mehr der zugrunde liegenden Infrastruktur- und Malware-Varianten, die an dem Angriff beteiligt sind, auf ihre Entdeckung.
Angesichts des etablierten Musters dieses Akteurs, für jedes Ziel eine einzigartige Infrastruktur und Tools zu verwenden, und des betrieblichen Werts, seine Persistenz in gefährdeten Netzwerken aufrechtzuerhalten, werden wahrscheinlich zusätzliche Komponenten entdeckt, wenn unsere Untersuchung der Aktionen dieses Bedrohungsakteurs fortgesetzt wird.
Die Entdeckung, dass noch mehr Malware-Typen und mehr Infrastruktur zu finden sind, wird diejenigen, die diese fortlaufende Saga verfolgen, nicht überraschen. Vor kurzem hat Microsoft die zweite Phase von SolarWinds vorgestellt , in der detailliert beschrieben wurde, wie die Angreifer auf Netzwerke zugegriffen haben und wie lange sie unentdeckt blieben.