A Microsoft revelou três variantes de malware recentemente descobertas relacionadas ao ataque cibernético da SolarWinds. Ao mesmo tempo, também deu ao agente de ameaças por trás da SolarWinds um nome de rastreamento específico: Nobelium.
As informações recém-divulgadas fornecem mais informações sobre o enorme ataque cibernético que atingiu várias agências do governo dos Estados Unidos em sua lista de vítimas.
Microsoft revela várias variantes de malware
Em uma postagem recente para seu oficial Blog de segurança da Microsoft, a empresa revelou a descoberta de três tipos de malware adicionais relacionados ao ataque cibernético da SolarWinds: GoldMax, Sibot, e GoldFinder.
A Microsoft avalia que as peças de malware recém-surgidas foram usadas pelo ator para manter a persistência e realizar ações em redes muito específicas e direcionadas pós-comprometimento, evitando até mesmo a detecção inicial durante o incidente resposta.
As novas variantes de malware foram usadas nos últimos estágios do ataque SolarWinds. De acordo com a equipe de segurança da Microsoft, as novas ferramentas de ataque e tipos de malware foram encontrados em uso entre agosto e setembro de 2020, mas pode ter "estado em sistemas comprometidos desde junho 2020."
Além disso, esses tipos inteiramente novos de malware são "exclusivos para este ator" e "feitos sob medida para redes específicas", enquanto cada variante tem recursos diferentes.
- GoldMax: GoldMax é escrito em Go e atua como uma porta dos fundos de comando e controle que oculta atividades maliciosas no computador de destino. Conforme descoberto com o ataque SolarWinds, o GoldMax pode gerar tráfego de rede falso para disfarçar seu tráfego de rede malicioso, dando-lhe a aparência de tráfego regular.
- Sibot: Sibot é um malware de dupla finalidade baseado em VBScript que mantém uma presença persistente na rede de destino e para baixar e executar uma carga maliciosa. A Microsoft observa que existem três variantes do malware Sibot, todas com funcionalidades ligeiramente diferentes.
- GoldFinder: Este malware também é escrito em Go. A Microsoft acredita que foi "usado como uma ferramenta rastreadora de HTTP personalizada" para registrar endereços de servidor e outras infraestruturas envolvidas no ataque cibernético.
Relacionado: Microsoft revela o alvo real do ataque cibernético da SolarWinds
Há mais por vir da SolarWinds
Embora a Microsoft acredite que a fase de ataque do SolarWinds provavelmente tenha terminado, mais da infraestrutura subjacente e variantes de malware envolvidas no ataque ainda estão esperando para serem descobertas.
Com o padrão estabelecido deste ator de usar infraestrutura e ferramentas exclusivas para cada alvo, e o valor operacional de manter seus persistência em redes comprometidas, é provável que componentes adicionais sejam descobertos conforme nossa investigação sobre as ações desse ator de ameaça continuou.
A revelação de que mais tipos de malware e mais infraestrutura ainda serão encontrados não será uma surpresa para aqueles que acompanham essa saga em andamento. Recentemente, a Microsoft revelou a segunda fase da SolarWinds, detalhando como os invasores acessaram as redes e mantiveram uma presença pelo longo período em que permaneceram sem serem detectados.
O gigante da tecnologia é a última vítima do ataque SolarWinds em andamento.
- Notícias de tecnologia
- Microsoft
- Porta dos fundos
Gavin é o Editor Júnior para Windows e Technology Explained, um contribuidor regular do Really Useful Podcast e foi o Editor do site irmão da MakeUseOf com foco em criptografia, Blocks Decoded. Ele tem um BA (Hons) em Redação Contemporânea com Práticas de Arte Digital pilhadas nas colinas de Devon, bem como mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá, jogos de tabuleiro e futebol.
Assine a nossa newsletter
Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!
Mais um passo…!
Confirme o seu endereço de e-mail no e-mail que acabamos de enviar.
