Microsoft revela 3 nuevas variantes de malware relacionadas con el ciberataque de SolarWinds
Microsoft ha revelado tres variantes de malware recientemente encontradas relacionadas con el ciberataque SolarWinds. Al mismo tiempo, también le ha dado al actor de amenazas detrás de SolarWinds un nombre de seguimiento específico: Nobelium.
La información recientemente revelada proporciona más información sobre el enorme ataque cibernético que reclamó a varias agencias del gobierno de EE. UU. En su lista de víctimas.
Microsoft revela múltiples variantes de malware
En una publicación reciente en su blog oficial de seguridad de Microsoft , la compañía reveló el descubrimiento de tres tipos de malware adicionales relacionados con el ciberataque de SolarWinds : GoldMax, Sibot y GoldFinder.
Microsoft evalúa que el actor utilizó las piezas de malware recién surgidas para mantener la persistencia y realizar acciones en redes muy específicas y dirigidas después del compromiso, incluso evadiendo la detección inicial durante la respuesta a incidentes.
Las nuevas variantes de malware se utilizaron en las últimas etapas del ataque SolarWinds. Según el equipo de seguridad de Microsoft, se descubrió que las nuevas herramientas de ataque y tipos de malware estaban en uso entre agosto y septiembre de 2020, pero es posible que "hayan estado en sistemas comprometidos ya en junio de 2020".
Además, estos tipos de malware completamente nuevos son "exclusivos de este actor" y están "hechos a medida para redes específicas", mientras que cada variante tiene capacidades diferentes.
- GoldMax: GoldMax está escrito en Go y actúa como una puerta trasera de comando y control que oculta actividades maliciosas en la computadora de destino. Como se encontró con el ataque SolarWinds, GoldMax puede generar tráfico de red señuelo para disfrazar su tráfico de red malicioso, dándole la apariencia de tráfico regular.
- Sibot: Sibot es un malware de doble propósito basado en VBScript que mantiene una presencia persistente en la red de destino y para descargar y ejecutar una carga útil maliciosa. Microsoft señala que hay tres variantes del malware Sibot, todas las cuales tienen una funcionalidad ligeramente diferente.
- GoldFinder: este malware también está escrito en Go. Microsoft cree que se "utilizó como una herramienta de rastreo HTTP personalizada" para registrar direcciones de servidor y otra infraestructura involucrada en el ciberataque.
Hay más por venir de SolarWinds
Aunque Microsoft cree que la fase de ataque de SolarWinds probablemente haya terminado, más de la infraestructura subyacente y las variantes de malware involucradas en el ataque aún están esperando ser descubiertas.
Con el patrón establecido de este actor de usar infraestructura y herramientas únicas para cada objetivo, y el valor operativo de mantener su persistencia en redes comprometidas, es probable que se descubran componentes adicionales a medida que continúe nuestra investigación sobre las acciones de este actor de amenazas.
La revelación de que aún no se han encontrado más tipos de malware y más infraestructura no será una sorpresa para quienes siguen esta saga en curso. Recientemente, Microsoft reveló la segunda fase de SolarWinds , detallando cómo los atacantes accedieron a las redes y mantuvieron su presencia durante el largo período que permanecieron sin ser detectados.