Microsoft révèle 3 nouvelles variantes de logiciels malveillants liées à la cyberattaque SolarWinds
Microsoft a révélé trois nouvelles variantes de logiciels malveillants liées à la cyberattaque SolarWinds. Dans le même temps, il a également donné à l'acteur de la menace derrière SolarWinds un nom de suivi spécifique: Nobelium.
Les informations récemment divulguées donnent un meilleur aperçu de l'énorme cyberattaque qui a fait figurer plusieurs agences gouvernementales américaines dans sa liste de victimes.
Microsoft révèle plusieurs variantes de logiciels malveillants
Dans un article récent sur son blog officiel Microsoft Security , la société a révélé la découverte de trois types de logiciels malveillants supplémentaires liés à la cyberattaque SolarWinds: GoldMax, Sibot et GoldFinder.
Microsoft évalue que les éléments malveillants nouvellement apparus ont été utilisés par l'acteur pour maintenir la persistance et effectuer des actions sur des réseaux très spécifiques et ciblés après la compromission, évitant même la détection initiale lors de la réponse à l'incident.
Les nouvelles variantes de logiciels malveillants ont été utilisées dans les dernières étapes de l'attaque SolarWinds. Selon l'équipe de sécurité de Microsoft, les nouveaux outils d'attaque et les types de logiciels malveillants ont été utilisés entre août et septembre 2020, mais pourraient avoir «été sur des systèmes compromis dès juin 2020».
En outre, ces types de logiciels malveillants entièrement nouveaux sont «propres à cet acteur» et «conçus sur mesure pour des réseaux spécifiques», tandis que chaque variante a des capacités différentes.
- GoldMax: GoldMax est écrit en Go et agit comme une porte dérobée de commande et de contrôle qui cache les activités malveillantes sur l'ordinateur cible. Comme lors de l'attaque SolarWinds, GoldMax peut générer un trafic réseau leurre pour masquer son trafic réseau malveillant, lui donnant l'apparence d'un trafic régulier.
- Sibot: Sibot est un malware à double usage basé sur VBScript qui maintient une présence persistante sur le réseau cible et permet de télécharger et d'exécuter une charge utile malveillante. Microsoft note qu'il existe trois variantes du malware Sibot, qui ont toutes des fonctionnalités légèrement différentes.
- GoldFinder: ce malware est également écrit en Go. Microsoft pense qu'il a été «utilisé comme outil de suivi HTTP personnalisé» pour la journalisation des adresses de serveur et d'autres infrastructures impliquées dans la cyberattaque.
Il y a plus à venir de SolarWinds
Bien que Microsoft pense que la phase d'attaque de SolarWinds est probablement terminée, une plus grande partie de l'infrastructure sous-jacente et des variantes de logiciels malveillants impliquées dans l'attaque attendent toujours d'être découvertes.
Avec le modèle établi de cet acteur consistant à utiliser une infrastructure et des outils uniques pour chaque cible, et la valeur opérationnelle du maintien de leur persistance sur les réseaux compromis, il est probable que des composants supplémentaires seront découverts à mesure que notre enquête sur les actions de cet acteur menaçant se poursuit.
La révélation que plus de types de logiciels malveillants et plus d'infrastructures doivent encore être trouvés ne sera pas une surprise pour ceux qui suivent cette saga en cours. Récemment, Microsoft a révélé la deuxième phase de SolarWinds , détaillant comment les attaquants ont accédé aux réseaux et maintenu une présence pendant la longue période pendant laquelle ils sont restés non détectés.