GoldMax, GoldFinder, Sibot i Sunshuttle to nowe złośliwe oprogramowanie odkryte przez Microsoft i FireEye
Okazuje się, że Microsoft i FireEye odkryły nowe złośliwe oprogramowanie – GoldMax, GoldFinder, Sibot i Sunshuttle. Używano go w ataku na mnóstwo firm i instytucji korzystających z oprogramowania SolarWinds.
Firmy Microsoft i FireEye do tej pory odkryły złośliwe oprogramowanie Sunburst (Solorigate) i Teardrop. Niedawno inna firma zajmująca się cyberbezpieczeństwem, CrowdStrike, odkryła kolejny kod nazwany Sunspot. Teraz pojawiły się doniesienia o nowym złośliwym oprogramowaniu.
Nobelium i GoldMax, GoldFinder, Sibot
Nobelium to nowa grupa hakerska nazwana tak przez firmę Microsoft, a mające swój udział w atakach związanych z aferą SolarWinds. Okazuje się, że nowe, stworzone przez cyberprzestępców złośliwe oprogramowanie miało trzy składniki, które nazwano GoldMax, GoldFinder i Sibot.
GoldMax jest uważany przez Microsoft działa jak backdoor typu Command and Control (C2). Napisano go w popularnym języku programowania Google, Go.
GoldMax jest używany wyłącznie do komunikacji z C2 atakującego i wykorzystuje odsprzedane domeny o wysokiej reputacji. Dzięki temu GoldMax mógł unikać wykrycia przez systemy zabezpieczające i analityków. Co więcej, oprogramowanie to zapisuje na dysku plik konfiguracyjny zaszyfrowany kluczem AES-256, który jest unikalny dla każdej wersji złośliwego kodu.
GoldFinder także napisany jest w Go. Najprawdopodobniej zadaniem tego elementu jest śledzenie HTTP i rejestracja tras pakietów. Dzięki temu może dotrzeć do zakodowanego na stałe serwera C2. Po znalezieniu luk wysyła o nich informacje do hakerów.
Sibot napisano przy użyciu Visual Basic Scripting (VBScript) firmy Microsoft i jest szkodliwym oprogramowaniem o różnym zastosowaniu. Jego zadaniem jest zapewnienie zagnieżdżenia się oprogramowania na serwerze i pobranie oraz wykonanie kodu z serwera C2.
Plikowi VBScript nadaje się nazwę imitującą prawidłowe zadania systemu Windows. Przechowuje się go w rejestrze zaatakowanego systemu lub w ukrytej części dysku. Następnie skrypt VBScript uruchamia się za pośrednictwem zaplanowanego zadania. Ten kod ma aż trzy różne warianty.
UNC2452 i Sunshuttle
FireEye nadała im kryptonim UNC2452. Nowe złośliwe oprogramowanie nazwane Sunshuttle, napisany w języku GoLang. Odczytuje on osadzony lub lokalny plik konfiguracyjny, komunikuje się z zakodowanym na stałe serwerem poleceń i sterowania (C2) za pośrednictwem protokołu HTTPS i obsługuje polecenia, w tym zdalne przesyłanie konfiguracji, przesyłanie i pobieranie plików oraz wykonywanie dowolnych poleceń.
Sunshuttle używa nagłówków plików cookie do przekazywania wartości do C2 i może wybierać strony odsyłające z listy popularnych adresów URL witryn, aby pomóc w ukryciu się w takim ruchu sieciowym.
Jak widać afera SolarWinds to nie tylko początkowo wykryte złośliwe oprogramowanie. Okazuje się, że każdy miesiąc przynosi nowe informacje dotyczące włamania dzięki aktualizacji Orion. Nadal twierdzi się, że za atakami stoją hakerzy z Rosji. Za całość niedawno obwiniono stażystę.
Entuzjasta technologii IT, mobile, wearables. Freelancer, od lat w branży mediów IT/Mobile (CD-Action, NeXT, PC Format, CafePC.pl, Benchmark.pl, Mobility, Komputer Świat, Bezprawnik, Startupmag, IoTLab.pl) , były PRowiec (Sweex i Hannspree) i logistyk. Pasjonat jedzenia, gotowania, zdrowego odżywiania, wędrówek, jazdy na rowerze, książek, kina, opery, teatru i wielu innych.
