Microsoft et FireEye Révèlent de Nouveaux Échantillons de Malware Liés aux Attaquants de SolarWinds
Table des matières :
Une analyse récente menée par le Microsoft Threat Intelligence Center et l’équipe de recherche de Microsoft 365 Defender révèle trois nouveaux échantillons malveillants utilisés par le célèbre APT Nobelium lors de l’attaque dévastatrice de la chaîne d’approvisionnement SolarWinds. Selon le rapport, le malware de deuxième étape nouvellement découvert a été utilisé par les adversaires pour éviter la détection, obtenir la persistance, et charger des charges utiles supplémentaires sur le réseau compromis.
portes dérobées GoldMax, GoldFinder et Sibot
Recherche de Microsoft détails trois nouvelles souches appelées GoldMax, GoldFinder, et Sibot. Une enquête simultanée par FireEye indique un nouvel échantillon malveillant appelé Sunshuttle.
Selon les experts en sécurité, GoldMax (Sunshuttle) est un outil sophisqué et néfaste de backdoor de commande et de contrôle (C&C) utilisé à des fins de cyber-espionnage. Il applique des techniques d’évasion complexes pour mélanger le trafic C&C et le déguiser en trafic légitime, comme celui provenant de sites web tels que Google, Yahoo ou Facebook. Le serveur contrôlé par l’APT utilisé par le malware a été enregistré anonymement via NameSilo. Ce fournisseur de domaine est fréquemment utilisé par les acteurs APT soutenus par les États russes et iraniens.
La deuxième menace récemment identifiée, GoldFinder, agit comme un outil traceur HTTP personnalisé. Il peut localiser les serveurs proxy et les outils de sécurité réseau impliqués dans les communications C&C entre l’hôte compromis et le serveur.
Le dernier échantillon de malware, appelé Sibot, est une menace VBScript qui sert à assurer la persistance et à charger des logiciels malveillants supplémentaires depuis un serveur d’attaquants distants. Pour rester sous le radar, un fichier VBScript malveillant se fait passer pour des tâches Windows légitimes et s’exécute comme une tâche planifiée.
Microsoft et FireEye soulignent que les souches de malware personnalisées mentionnées ci-dessus ont été utilisées entre juin et septembre 2020 dans des attaques ciblées contre plusieurs fournisseurs. Le logiciel malveillant a été exploité aux dernières étapes de l’intrusion, juste après avoir obtenu un accès initial via des informations d’identification volées et des mouvements latéraux avec malware TearDrop. Notamment, les souches malveillantes ont été personnalisées pour s’adapter à des réseaux spécifiques, étant adaptées à des tâches uniques post-compromission. Selon Microsoft, le nouveau malware possède des capacités améliorées et utilise des modèles d’attaque inhabituels, ce qui démontre la sophistication croissante des hackers Nobelium. malware. Notably, malicious strains were customized to fit specific networks, being tailored to unique post-compromise tasks. According to Microsoft, the new malware possesses enhanced capabilities and uses unusual attack patterns, which demonstrates the growing sophistication of the Nobelium hackers.
APT Nobelium
Après une enquête approfondie sur l’attaque de la chaîne d’approvisionnement SolarWinds, Microsoft a commencé à parler d’un nouvel acteur de menace surnommé APT Nobelium. Le nouveau collectif de hackers est considéré comme un acteur étatique ayant une grande capacité à éviter la détection et à obfusquer le code de ses outils malveillants. Bien que l’origine des attaquants soit actuellement inconnue, les analystes en sécurité de Microsoft croient que le groupe est affilié à la Russie.
Bien que soit un nouvel acteur sur la scène de la cybersécurité, Nobelium a déjà acquis une solide réputation en tant qu’acteur sophistiqué capable de produire des malwares personnalisés et de lancer des opérations de cyber-espionnage sans précédent. La communauté mondiale a tourné son attention vers la nouvelle menace après que des hackers ont réussi à compromettre plus de 18 000 organisations via des mises à jour truquées de SolarWinds Orion. La liste des victimes comprend plus de 452 fournisseurs de la liste Fortune 500, neuf agences fédérales américaines et des entreprises de sécurité de renommée mondiale. En particulier, l’activité du groupe a été analysée par différents fournisseurs de sécurité, y compris FireEye qui le suit sous le nom UNC2452, Violexity collectivement connu sous le nom DarkHalo, et Microsoft qui le suit sous le nom UNC2452, Violexity the collective as DarkHalo, and Microsoft le nommant APT Nobelium. Depuis son émergence à la fin de 2019, les hackers Nobelium ont produit et utilisé de multiples souches malveillantes personnalisées lors de leurs intrusions. Les experts en sécurité ont précédemment identifié quatre différents échantillons, y compris
Since its emergence at the end of 2019, Nobelium hackers produced and utilized multiple custom malicious strains during their intrusions. Security experts have previously identified four different samples, including Sunburst, Sunspot, Raindrop, et malware TearDrop. Notamment, les souches malveillantes ont été personnalisées pour s’adapter à des réseaux spécifiques, étant adaptées à des tâches uniques post-compromission. Selon Microsoft, le nouveau malware possède des capacités améliorées et utilise des modèles d’attaque inhabituels, ce qui démontre la sophistication croissante des hackers Nobelium.. Et les souches récemment découvertes portent ce nombre à sept, avec GoldMax, GoldFinder, et Sibot sur la liste.
Détection des Attaques APT Nobelium
Pour détecter l’activité malveillante possible de l’APT Nobelium et se défendre de manière proactive contre GoldMax, GoldFinder, et Sibot malware, nos développeurs de Threat Bounty ont publié des règles Sigma communautaires déjà disponibles sur le Threat Detection Marketplace.
Rundll32.exe .sys chargements d’image par référence
Les règles ont des traductions vers les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK :
Tactiques : Exécution, Évasion de la Défense
Techniques : Exécution de Proxy Binaire Signé (T1218)
Pour trouver plus de contenu de détection couvrant les attaques de l’APT Nobelium, nous vous recommandons de consulter nos précédents articles de blog consacrés à l’analyse de la brèche de FireEye,, Sunburst and Raindrop l’attaque Golden SAML, et Obtenez un abonnement gratuit à vue d’ensemble. Obtenez un abonnement gratuit à Programme Threat Bounty
, une plate-forme mondiale de Detection as Code pour les contenus SOC qui fournit un accès et un support à plus de 100 000 algorithmes de détection et de réponse pour plus de 23 technologies SIEM, EDR et NTDR de premier plan. Vous voulez créer vos propres détections et les partager avec la communauté mondiale des cyberdéfenseurs ? Rejoignez notre Programme Threat Bounty, a world-leading Detection as Code platform for SOC content that provides access and support to 100,000+ detection and response algorithms for 23+ market-leading SIEM, EDR, and NTDR technologies. Want to craft your own detections and share them with the global community of cyber defenders? Join our Threat Bounty Program!