Microsoft und FireEye enthüllen neue Malware-Beispiele im Zusammenhang mit SolarWinds-Angreifern

Eine kürzlich durchgeführte Analyse von Microsoft Threat Intelligence Center und Microsoft 365 Defender Research Team offenbart drei weitere bösartige Muster, die von der berüchtigten Nobelium APT während des verheerenden SolarWinds-Lieferkettenangriffs eingesetzt wurden. Laut dem Bericht verwendeten die neu entdeckten Second-Stage-Malware die Angreifer, um einer Entdeckung zu entgehen, Persistenz zu erlangen und zusätzliche Nutzlasten in das kompromittierte Netzwerk zu laden.

GoldMax-, GoldFinder- und Sibot-Backdoors

Microsoft-Forschung details drei neue Varianten genannt GoldMax, GoldFinder, und Sibot. Eine gleichzeitige Untersuchung durch FireEye weist auf das neue bösartige Muster namens Sunshuttle. 

Laut den Sicherheitsexperten GoldMax (Sunshuttle) ist ein ausgeklügelter und heimtückischer Command-and-Control-Backdoor (C&C) der späteren Stufe, der zu Zwecken der Cyberspionage verwendet wird. Er nutzt komplexe Verschleierungstechniken, um C&C-Verkehr zu verwirren und diesen als von legitimen Websites wie Google, Yahoo oder Facebook stammend auszugeben. Der von der Malware verwendete, von APT kontrollierte Server wurde anonym über NameSilo registriert. Dieser Domain-Provider wird häufig von russischen und iranischen, nationenstützten APT-Akteuren genutzt.

Die kürzlich identifizierte zweite Bedrohung GoldFinder, fungiert als benutzerdefiniertes HTTP-Tracer-Tool. Es kann Proxy-Server und Netzwerksicherheitswerkzeuge ausfindig machen, die an der C&C-Kommunikation zwischen dem kompromittierten Host und dem Server beteiligt sind.

Die letzte Malware-Probe, genannt Sibot, ist eine VBScript-Bedrohung, die zur Erreichung von Persistenz und zum Laden zusätzlicher Malware von einem entfernten Angreiferserver dient. Um unentdeckt zu bleiben, gibt sich eine bösartige VBScript-Datei als legitime Windows-Aufgaben aus und wird als geplante Aufgabe ausgeführt.

Microsoft und FireEye weisen darauf hin, dass die oben genannten benutzerdefinierten Malware-Varianten zwischen Juni und September 2020 in gezielten Angriffen gegen mehrere Anbieter verwendet wurden. Die bösartige Software wurde in den letzten Phasen des Eindringens eingesetzt, direkt nachdem der anfängliche Zugriff über erbeutete Anmeldedaten und seitliche Bewegungen mit TearDrop Malware erzielt wurde. Bemerkenswerterweise wurden die bösartigen Varianten an die spezifischen Netzwerke angepasst und auf einzigartige Aufgaben nach dem Kompromiss abgestimmt. Laut Microsoft besitzt die neue Malware erweiterte Fähigkeiten und verwendet ungewöhnliche Angriffsmuster, was die zunehmende Raffinesse der Nobelium-Hacker demonstriert.

Nobelium APT

Nach einer gründlichen Untersuchung des SolarWinds-Lieferkettenangriffs begann Microsoft, über einen neuen Bedrohungsakteur namens Nobelium APT zu sprechen. Es wird angenommen, dass das neue Hacker-Kollektiv ein hochkompetenter nationalstaatlicher Akteur ist, der geschickt darin ist, Entdeckungen zu umgehen und den Code seiner bösartigen Tools zu verschleiern. Obwohl der Ursprung der Angreifer derzeit unbekannt ist, glauben Microsoft-Sicherheitsanalysten, dass die Gruppe Russland zuzuordnen ist.

Trotz dass Nobelium ein neuer Spieler auf der Cybersecurity-Bühne ist, hat es sich bereits einen soliden Ruf als raffinierter Akteur erworben, der in der Lage ist, benutzerdefinierte Malware zu produzieren und beispiellose Cyberspionage-Operationen zu starten. Die weltweite Gemeinschaft wurde auf die neue Bedrohung aufmerksam, nachdem Hacker erfolgreich über 18.000 Organisationen über trojanisierte SolarWinds-Orion-Updates kompromittierten. Die Liste der Opfer umfasst über 452 Anbieter von der Fortune-500-Liste, neun US-Bundesbehörden und weltweit führende Sicherheitsunternehmen. Insbesondere wurde die Aktivität der Gruppe von verschiedenen Sicherheitsanbietern analysiert, darunter FireEye verfolgt sie als UNC2452, Violexity verfolgt das Kollektiv als DarkHalo, und Microsoft nennt es Nobelium APT.

Seit seinem Auftauchen Ende 2019 haben Nobelium-Hacker mehrere benutzerdefinierte bösartige Varianten während ihrer Einbrüche produziert und eingesetzt. Sicherheitsforscher haben zuvor vier verschiedene Proben identifiziert, einschließlich Sunburst, Sunspot, Raindrop, und Teardrop. Und die kürzlich entdeckten Varianten erhöhen diese Zahl auf sieben, mit GoldMax, GoldFinder, und Sibot auf der Liste.

Erkennung von Nobelium APT-Angriffen

Um mögliche bösartige Aktivitäten von Nobelium APT zu erkennen und sich proaktiv gegen GoldMax, GoldFinder, und Sibot Malware zu verteidigen, haben unsere engagierten Threat Bounty-Entwickler Community-Sigma-Regeln veröffentlicht, die bereits im Threat Detection Marketplace verfügbar sind.

NOBELIUM (GoldMax, GoldFinder und Sibot) verwendet von den SolarWinds-Angreifern (gefunden von Microsoft)

Rundll32.exe .sys Image Loads By Reference

Die Regeln haben Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

MITRE ATT&CK:

Taktiken: Ausführung, Verteidigungsausweichen

Techniken: Signierte Proxy-Ausführung von Binärdateien (T1218)

Um weitere Erkennungsinhalte zu Nobelium APT-Angriffen zu finden, empfehlen wir Ihnen, unsere vorherigen Blog-Artikel zu lesen, die sich der FireEye-Verletzungs, Sunburst and Raindrop analyse, Golden SAML Angriff und Dark Halo Übersicht widmen.

Erhalten Sie ein kostenloses Abonnement für den Threat Detection Marketplace, eine weltweit führende Detection-as-Code-Plattform für SOC-Inhalte, die Zugriff und Unterstützung für über 100.000 Erkennungs- und Reaktionsalgorithmen für mehr als 23 marktführende SIEM-, EDR- und NTDR-Technologien bietet. Möchten Sie Ihre eigenen Erkennungen erstellen und mit der weltweiten Gemeinschaft von Cyber-Verteidigern teilen? Treten Sie unserem Threat Bounty Program!