Microsoft ha rivelato tre varianti di malware trovate di recente relative al cyberattacco SolarWinds. Allo stesso tempo, ha anche assegnato all'attore delle minacce dietro SolarWinds un nome di tracciamento specifico: Nobelium.
Le informazioni appena divulgate forniscono maggiori informazioni sull'enorme attacco informatico che ha reclamato più agenzie governative statunitensi nell'elenco delle vittime.
Microsoft rivela più varianti di malware
In un recente post al suo ufficiale Blog sulla sicurezza di Microsoft, la società ha rivelato la scoperta di tre ulteriori tipi di malware relativi al cyberattacco SolarWinds: GoldMax, Sibot, e GoldFinder.
Microsoft valuta che i pezzi di malware appena emersi siano stati utilizzati dall'attore per mantenere la persistenza e eseguire azioni su reti molto specifiche e mirate dopo la compromissione, eludendo anche il rilevamento iniziale durante l'incidente risposta.
Le nuove varianti di malware sono state utilizzate nelle ultime fasi dell'attacco SolarWinds. Secondo il team di sicurezza di Microsoft, i nuovi strumenti di attacco e i nuovi tipi di malware sono stati trovati utilizzo tra agosto e settembre 2020, ma potrebbe essere "stato su sistemi compromessi già a giugno 2020."
Inoltre, questi tipi completamente nuovi di malware sono "unici per questo attore" e "su misura per reti specifiche", mentre ogni variante ha capacità diverse.
- GoldMax: GoldMax è scritto in Go e funge da backdoor di comando e controllo che nasconde attività dannose sul computer di destinazione. Come riscontrato con l'attacco SolarWinds, GoldMax può generare traffico di rete esca per mascherare il suo traffico di rete dannoso, dandogli l'aspetto di traffico regolare.
- Sibot: Sibot è un malware a duplice scopo basato su VBScript che mantiene una presenza persistente sulla rete di destinazione e per scaricare ed eseguire un payload dannoso. Microsoft nota che ci sono tre varianti del malware Sibot, che hanno tutte funzionalità leggermente diverse.
- GoldFinder: Questo malware è scritto anche in Go. Microsoft ritiene che sia stato "utilizzato come strumento di tracciamento HTTP personalizzato" per registrare gli indirizzi dei server e altre infrastrutture coinvolte nell'attacco informatico.
Relazionato: Microsoft rivela l'effettivo obiettivo dell'attacco informatico di SolarWinds
C'è di più in arrivo da SolarWinds
Sebbene Microsoft ritenga che la fase di attacco di SolarWinds sia probabilmente terminata, la maggior parte dell'infrastruttura sottostante e delle varianti di malware coinvolte nell'attacco sono ancora in attesa di essere scoperte.
Con il modello consolidato di questo attore di utilizzare infrastrutture e strumenti unici per ciascun target e il valore operativo di mantenerli persistenza su reti compromesse, è probabile che vengano scoperti componenti aggiuntivi durante la nostra indagine sulle azioni di questo attore di minacce continua.
La rivelazione che devono ancora essere trovati più tipi di malware e più infrastrutture non sarà una sorpresa per coloro che seguono questa saga in corso. Di recente, Microsoft ha rivelato la seconda fase di SolarWinds, descrivendo in dettaglio il modo in cui gli aggressori hanno avuto accesso alle reti e mantenuto una presenza per il lungo periodo in cui sono rimasti inosservati.
Il gigante della tecnologia è l'ultima vittima dell'attacco SolarWinds in corso.
- Notizie tecniche
- Microsoft
- Porta sul retro
Gavin è il Junior Editor per Windows e Technology Explained, un collaboratore regolare del Really useful Podcast, ed è stato l'editor per il sito gemello criptato di MakeUseOf, Blocks Decoded. Ha conseguito una laurea in scrittura contemporanea con pratiche di arte digitale saccheggiate dalle colline del Devon, oltre a oltre un decennio di esperienza di scrittura professionale. Gli piacciono abbondanti quantità di tè, giochi da tavolo e calcio.
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!
Ancora un passo…!
Conferma il tuo indirizzo e-mail nell'e-mail che ti abbiamo appena inviato.