Microsoft ha publicado un nuevo informe que arroja luz sobre tres nuevas cepas de malware utilizadas por un actor de amenazas, que ahora está rastreando como Nobelium, para comprometer a la empresa de software SolarWinds y sus clientes en un ataque a la cadena de suministro el año pasado, que se describe como "el el ataque más grande y sofisticado de la historia ".
El gigante tecnológico dijo que descubrió tres nuevas piezas de malware en algunas redes de clientes comprometidas y observó que estaban en uso de agosto a septiembre de 2020, con infecciones que se remontan a junio de 2020. Las tres cepas de malware son:
GoldMax: una puerta trasera de comando y control (C2) escrita en Go. Utiliza varias técnicas diferentes para ocultar sus acciones y evadir la detección. GoldMax tiene un generador de tráfico de red señuelo que le permite rodear su tráfico de red malicioso con tráfico aparentemente benigno.
Sibot: un malware de doble propósito implementado en VBScript diseñado para lograr la persistencia en la máquina infectada y luego descargar y ejecutar una carga útil desde un servidor C2 remoto.
GoldFinder: otro malware basado en Go que probablemente se use como una herramienta de rastreo HTTP personalizada que registra la ruta o los saltos que toma un paquete para llegar a un servidor C2 codificado. En un dispositivo comprometido, GoldFinder se puede utilizar para informar al actor de amenazas de los puntos potenciales de descubrimiento o registro de sus otras acciones, como la comunicación C2 con GoldMax.
“Estas herramientas son nuevas piezas de malware que son exclusivas de este actor. Están hechos a medida para redes específicas y se evalúa su introducción después de que el actor haya obtenido acceso a través de credenciales comprometidas o el binario SolarWinds y después de moverse lateralmente con TEARDROP y otras acciones prácticas en el teclado ”, dijo Microsoft. "Microsoft evalúa que el actor utilizó las piezas de malware recién surgidas para mantener la persistencia y realizar acciones en redes muy específicas y dirigidas después del compromiso, incluso evadiendo la detección inicial durante la respuesta a incidentes".
La firma de ciberseguridad FireEye también publicó un informe sobre una nueva puerta trasera de segunda etapa, que denominó Sunshuttle. La compañía cree que este malware está conectado al actor de amenazas detrás de la violación de SolarWinds, que es rastreado por investigadores de seguridad como UNC2452 (FireEye), StellarParticle (CrowdStrike), SolarStorm (Palo Alto Unit 42), Dark Halo (Volexity) y ahora Nobelium. (Microsoft).
Sunshuttle es una puerta trasera, escrita en Go, que lee un archivo de configuración local o incrustado, se comunica con su servidor C2 a través de HTTPS y admite comandos, incluida la actualización remota de su configuración, la carga y descarga de archivos y la ejecución de comandos arbitrarios.
El mes pasado, Microsoft reveló que los piratas informáticos de SolarWinds obtuvieron acceso a algunos repositorios y descargaron el código fuente de los productos de tres compañías, a saber, el servicio de computación en la nube Azure, la solución de administración basada en la nube Intune y el servidor de correo y calendario Exchange. En todos los casos, los piratas informáticos solo descargaron un pequeño subconjunto de archivos, dijo Microsoft, y los términos de búsqueda utilizados por el actor de la amenaza indican que estaban interesados en los secretos de la empresa.
