Microsoft on paljastanut kolme äskettäin löydettyä haittaohjelmaversiota, jotka liittyvät SolarWinds-kyberhyökkäykseen. Samanaikaisesti se on myös antanut SolarWindsin takana olevalle uhkatekijälle erityisen seurannan: Nobelium.
Äskettäin julkistetut tiedot antavat enemmän tietoa valtavasta kyberhyökkäyksestä, joka väitti usean Yhdysvaltain valtion viraston olevan uhrien luettelossa.
Microsoft paljastaa useita haittaohjelmavaihtoehtoja
Äskettäisessä virassa virkamiehelleen Microsoft Security -blogi, yritys paljasti löytäneensä kolme muuta haittaohjelmatyyppiä, jotka liittyvät SolarWinds-kyberhyökkäykseen: GoldMax, Sibotja Kultahaku.
Microsoft arvioi, että näyttelijä käytti hiljattain ilmestyneitä haittaohjelmia palaakseen pysyvyyteen ja suorittaa toimenpiteitä hyvin erityisissä ja kohdennetuissa verkoissa kompromissin jälkeen, välttäen jopa alkutunnistusta tapahtuman aikana vastaus.
Uusia haittaohjelmamuunnelmia käytettiin SolarWinds-hyökkäyksen myöhemmissä vaiheissa. Microsoftin tietoturvaryhmän mukaan uusien hyökkäystyökalujen ja haittaohjelmatyyppien havaittiin olevan käyttö elokuusta syyskuuhun 2020, mutta on saattanut olla "vaarantuneissa järjestelmissä jo kesäkuussa 2020."
Lisäksi nämä täysin uudet haittaohjelmatyypit ovat "ainutlaatuisia tälle toimijalle" ja "räätälöityjä tietyille verkoille", kun taas kullakin muunnelmalla on erilaiset ominaisuudet.
- KultaMax: GoldMax on kirjoitettu Go-muodossa ja se toimii komento- ja ohjaustakana, joka piilottaa haitalliset toiminnot kohdetietokoneessa. Kuten SolarWinds-hyökkäyksessä todettiin, GoldMax voi tuottaa houkuttelevaa verkkoliikennettä peittääkseen haitallisen verkkoliikenteen, jolloin se näyttää säännölliseltä liikenteeltä.
- Sibot: Sibot on VBScript-pohjainen kaksikäyttöinen haittaohjelma, joka ylläpitää jatkuvaa läsnäoloa kohdeverkossa sekä haitallisen hyötykuorman lataamista ja suorittamista. Microsoft toteaa, että Sibot-haittaohjelmista on kolme muunnosta, joilla kaikilla on hieman erilaiset toiminnot.
- Kultahaku: Tämä haittaohjelma on kirjoitettu myös Go-tiedostoon. Microsoft uskoo, että sitä "käytettiin mukautettuna HTTP-jäljitystyökaluna" palvelinosoitteiden ja muun kyberhyökkäykseen liittyvän infrastruktuurin kirjaamiseen.
Liittyvät: Microsoft paljastaa SolarWinds-kyberhyökkäyksen todellisen kohteen
SolarWindsista löytyy lisää
Vaikka Microsoft uskoo, että SolarWindsin hyökkäysvaihe on todennäköisesti päättynyt, useampi hyökkäykseen liittyvä infrastruktuuri ja haittaohjelmamuunnelmat odottavat edelleen löytämistä.
Tämän näyttelijän vakiintuneen mallin mukaan ainutlaatuisen infrastruktuurin ja työkalujen käyttäminen kullekin kohteelle ja niiden ylläpitämisen operatiivinen arvo pysyvyys vaarantuneissa verkoissa, on todennäköistä, että lisätekijöitä löydetään tutkittaessa tämän uhkatekijän toimia jatkuu.
Ilmoitus siitä, että enemmän haittaohjelmatyyppejä ja enemmän infrastruktuuria ei vielä löydy, ei ole yllätys niille, jotka seuraavat tätä jatkuvaa saagaa. Äskettäin Microsoft paljasti SolarWindsin toinen vaihe, yksityiskohtaisesti kuinka hyökkääjät pääsivät verkkoihin ja pitivät läsnäolonsa niin kauan kuin heitä ei havaittu.
Tekniikan jättiläinen on käynnissä olevan SolarWinds-hyökkäyksen viimeisin uhri.
- Tech News
- Microsoft
- Takaovi
Gavin on Windows and Technology Explained -ohjelman nuorempi toimittaja, säännöllinen osallistuja todella hyödylliseen podcastiin ja oli MakeUseOfin salauspainotteisen sisarussivuston, Blocks Decoded, toimittaja. Hänellä on BA (Hons) nykykirjoittaminen digitaalisen taiteen käytöillä, jotka on ryöstetty Devonin kukkuloilta, sekä yli vuosikymmenen ammattitaitoinen kirjoituskokemus. Hän nauttii runsaasta määrästä teetä, lautapelejä ja jalkapalloa.
Tilaa uutiskirjeemme
Liity uutiskirjeeseemme, jossa on teknisiä vinkkejä, arvosteluja, ilmaisia e-kirjoja ja erikoistarjouksia!
Vielä yksi askel !!!
Vahvista sähköpostiosoitteesi juuri lähettämässäsi sähköpostiviestissä.