Microsoft en FireEye ontdekken nieuwe malware SolarWinds-aanvallers
Microsoft en securitybedrijf FireEye hebben nieuwe malware ontdekt die is ingezet door de aanvallers achter de SolarWinds-aanval. De malware werd ontdekt op de netwerken van gecompromitteerde klanten en is zeer waarschijnlijk geïnstalleerd via de SolarWinds-backdoor of gestolen inloggegevens, aldus Microsoft. De malware werd volgens het techbedrijf gebruikt voor het behouden van toegang tot slachtoffers, het uitvoeren van specifieke acties op gecompromitteerde netwerken en het vermijden van detectie tijdens incident response.
Microsoft beschrijft in totaal drie nieuwe malware-exemplaren genaamd GoldMax, Sibot en GoldFinder. GoldMax is een zogeheten command-and-control backdoor waarmee de aanvallers besmette machines kunnen aansturen. Zodra de malware voor de eerste keer wordt uitgevoerd zal die een lijst met netwerkinterfaces van het systeem ophalen. Zijn er geen netwerkinterfaces beschikbaar, dan schakelt GoldMax zichzelf uit.
De malware stopt ook met werken wanneer het MAC-adres c8:27:cc:c2:37:5a wordt aangetroffen. Dit is het standaard MAC-adres van een Microsoft Hyper-V netwerkadapter, stelt Dmitry Bestuzhev van antivirusbedrijf Kaspersky. GoldMax, door FireEye Sunshuttle genoemd, beschikt daarnaast over een feature om netwerk naar legitieme domeinen te genereren, om zo het eigen malafide verkeer te verbergen.
De Sibot-malware heeft twee taken, namelijk op het systeem actief blijven en het installeren van een payload afkomstig van een command-and-control server. Microsoft ontdekte drie varianten van Sibot. Daarbij doet de malware zich voor als een legitieme Windows-taak. Als laatste wordt GoldFinder beschreven. Dit is een "http-tracertool" die de route of hops van een pakketje naar de command-and-control server vastlegt. Zo kunnen de aanvallers zien langs welke punten een http-request gaat en kan worden gelogd of door verdedigers worden ontdekt.
Microsoft en FireEye verschillende Indicators of compromise (IOC's) beschikbaar gemaakt waarmee organisaties kunnen kijken of de malware op hun systemen aanwezig is of was. Het gaat om hashes van de malwarebestanden en domeinen en ip-adressen waarmee de malware communiceert. Volgens de techbedrijven zou de malware van juni 2020 tot en met september 2020 actief zijn geweest op de netwerken van slachtoffers.
Het zal ongetwijfeld zijn dat Microsoft en/of FireEye klanten hebben die gecompromitteerd zijn, maar het is in deze context aannemelijker dat de netwerken van de klanten zijn gecompromitteerd.
Ontopic:
Het lijkt erop alsof de beerput van Solarwinds steeds verder open gaat. Hopelijk is dit het laatste, maar gezien de lange tijd die de aanvallers persistent hebben gehad valt nog veel meer te verwachten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.