Η Microsoft αποκάλυψε νέες πληροφορίες σχετικά με τρία ακόμη στελέχη malware που χρησιμοποίησαν οι χάκερς της SolarWinds στα δίκτυα των θυμάτων τους, ως payloads δευτέρου σταδίου. Ο τεχνολογικός κολοσσός παρακολουθεί τους τελευταίους μήνες τους «εξελιγμένους» κυβερνοεγκληματίες που βρίσκονται πίσω από τις επιθέσεις στην SolarWinds και άλλες εταιρείες ή οργανισμούς, και ανακάλυψε ότι αυτοί χρησιμοποίησαν το Sunburst backdoor και το Teardrop malware κατά τη διάρκεια της επίθεσης της αλυσίδας εφοδιασμού. Οι ερευνητές ασφαλείας του Microsoft Threat Intelligence Center (MSTIC) και του Microsoft 365 Defender Research Team ανέφεραν ότι τα τρία νεοανακαλυφθέντα στελέχη malware που χρησιμοποίησαν οι χάκερς (οι οποίοι παρακολουθούνται με την ονομασία “Nobelium”) κατά τη διάρκεια της κακόβουλης δραστηριότητάς τους στο διάστημα μεταξύ Αυγούστου και Σεπτεμβρίου 2020 ήταν το GoldMax, το Sibot και το GoldFinder.
Ωστόσο, πιστεύεται ότι η Nobelium ξεκίνησε να «μολύνει» τα παραβιασμένα συστήματα πελατών της SolarWinds με αυτά τα malware από τον Ιούνιο του 2020.
Όπως αναφέρει το BleepingComputer, η Microsoft εκτιμά ότι οι χάκερς χρησιμοποίησαν αυτά τα τρία στελέχη malware για να διατηρήσουν την επιμονή τους, να εκτελέσουν ενέργειες σε πολύ συγκεκριμένα και στοχευμένα δίκτυα μετά την παραβίαση, ακόμη και να αποφύγουν την αρχική ανίχνευση κατά την απόκριση περιστατικών.
Επιπλέον, η εταιρεία επεσήμανε ότι αυτά τα στελέχη malware διαθέτουν τις ακόλουθες δυνατότητες:
- GoldMax: Το Go-based malware χρησιμοποιήθηκε ως command-and-control backdoor για την απόκρυψη κακόβουλης δραστηριότητας και την αποφυγή εντοπισμού. Διαθέτει επίσης μια γεννήτρια επισκεψιμότητας δικτύου για την κάλυψη κακόβουλης κίνησης δικτύου με φαινομενικά καλοήθη κίνηση.
- Sibot: Το VBScript-based malware χρησιμοποιήθηκε για τη διατήρηση της επιμονής και τη λήψη πρόσθετων malware payloads με τη χρήση script δευτέρου σταδίου.
- GoldFinder: Το Go-based malware «πιθανώς» χρησιμοποιήθηκε ως προσαρμόσιμο εργαλείο εντοπισμού HTTP, για τον εντοπισμό servers και redirectors όπως συσκευές ασφαλείας δικτύου μεταξύ των μολυσμένων συσκευών και του C2 server.
Στις 4 Μαρτίου, η FireEye επίσης κοινοποίησε ένα ακόμη backdoor δευτέρου σταδίου που ανακαλύφθηκε στους servers ενός οργανισμού ο οποίος έχει παραβιαστεί από τους χάκερς της SolarWinds. Οι ερευνητές της εταιρείας πιστεύουν ότι το νεοανακαλυφθέν malware, που ονομάζεται Sunshuttle, συνδέεται με τους χάκερς της SolarWinds που παρακολουθούνται ως UNC2452 (FireEye), StellarParticle (CrowdStrike), SolarStorm (Palo Alto Unit 42), Dark Halo (Volexity) και τώρα Nobelium (Microsoft).
Επιπλέον, η Microsoft ανέφερε πως σε όλα τα στάδια της επίθεσης, οι χάκερς επέδειξαν μια βαθιά γνώση των εργαλείων software, των εφαρμογών, των software ασφαλείας, των συστημάτων που είναι κοινά στα δίκτυα, καθώς και των τεχνικών που χρησιμοποιούνται συχνά από ομάδες απόκρισης σε περιστατικά.
Την 1η Μαρτίου, η SolarWinds αποκάλυψε δαπάνες ύψους περίπου 4 εκατομμυρίων δολαρίων έως το Δεκέμβριο του 2020 από την επίθεση της αλυσίδας εφοδιασμού, ενώ αναμένεται το κόστος να αυξηθεί σημαντικά το επόμενο διάστημα.
