Microsoft e FireEye Rivelano Nuovi Campioni di Malware Legati agli Attaccanti di SolarWinds
Indice:
Un’analisi recente condotta dal Microsoft Threat Intelligence Center e dal Microsoft 365 Defender Research Team rivela tre campioni dannosi applicati dal famigerato Nobelium APT durante il devastante attacco alla supply-chain di SolarWinds. Secondo il rapporto, il malware di seconda fase appena scoperto è stato utilizzato dagli avversari per eludere il rilevamento, ottenere persistenza e caricare ulteriori payload sulla rete compromessa.
Backdoor GoldMax, GoldFinder e Sibot
Ricerca Microsoft dettagli tre nuove varianti denominate GoldMax, GoldFinder, e Sibot. Un’indagine simultanea di FireEye anche indica al nuovo campione dannoso chiamato Sunshuttle.
Secondo gli esperti di sicurezza, GoldMax (Sunshuttle) è un backdoor sofisticato e pernicioso di fase avanzata di comando e controllo (C&C) utilizzato a scopi di cyber-spionaggio. Applica tecniche di evasione complesse per confondere il traffico C&C e mascherarlo come se provenisse da siti web legittimi come Google, Yahoo o Facebook. Il server controllato dall’APT utilizzato dal malware è stato registrato in modo anonimo tramite NameSilo. Questo provider di domini è frequentemente utilizzato dagli attori APT supportati da nazioni russe e iraniane.
La seconda minaccia recentemente identificata, GoldFinder, agisce come uno strumento tracer HTTP personalizzato. Può individuare i server proxy e gli strumenti di sicurezza della rete coinvolti nelle comunicazioni C&C tra l’host compromesso e il server.
L’ultimo campione di malware, chiamato Sibot, è una minaccia VBScript che serve per ottenere persistenza e caricare malware aggiuntivo da un server di attaccanti remoti. Per rimanere sotto il radar, un file VBScript dannoso si spaccia per legittimi compiti Windows e viene eseguito come attività pianificata.
Microsoft e FireEye sottolineano che le citate varianti di malware personalizzate sono state utilizzate tra giugno e settembre 2020 negli attacchi mirati contro più fornitori. Il software dannoso è stato sfruttato nelle fasi più avanzate dell’intrusione, subito dopo aver ottenuto accesso iniziale tramite credenziali trafugate e movimento laterale con malware TearDrop. Nonabilmente, le varianti dannose sono state personalizzate per adattarsi a reti specifiche, essendo adattate a compiti unici post-compromissione. Secondo Microsoft, il nuovo malware possiede funzionalità avanzate e utilizza modelli di attacco insoliti, il che dimostra la crescente sofisticazione degli hacker Nobelium. malware. Notably, malicious strains were customized to fit specific networks, being tailored to unique post-compromise tasks. According to Microsoft, the new malware possesses enhanced capabilities and uses unusual attack patterns, which demonstrates the growing sophistication of the Nobelium hackers.
Nobelium APT
Dopo un’indagine approfondita sull’attacco alla supply-chain di SolarWinds, Microsoft ha iniziato a parlare di un nuovo attore della minaccia denominato Nobelium APT. Il nuovo collettivo di hacker si crede sia un attore statale altamente qualificato nell’evitare il rilevamento e nell’offuscare il codice dei suoi strumenti dannosi. Sebbene l’origine degli attaccanti sia attualmente sconosciuta, gli analisti di sicurezza di Microsoft credono che il gruppo sia affiliato alla Russia.
Nonostante sia un nuovo attore nell’arena della cybersecurity, Nobelium ha già ottenuto una solida reputazione come attore sofisticato in grado di produrre malware personalizzato e lanciare operazioni di cyber-spionaggio senza precedenti. La comunità globale ha rivolto la sua attenzione alla nuova minaccia dopo che gli hacker hanno compromesso con successo oltre 18.000 organizzazioni tramite aggiornamenti Trojanizzati di SolarWinds Orion. La lista delle vittime include oltre 452 fornitori dalla lista Fortune 500, nove agenzie federali degli Stati Uniti e aziende di sicurezza leader mondiali. In particolare, l’attività del gruppo è stata analizzata da diversi fornitori di sicurezza, tra cui FireEye tracciandolo come UNC2452, Violexity tracciandolo il collettivo come DarkHalo, e Microsoft chiamandolo Nobelium APT.
Dalla sua comparsa alla fine del 2019, gli hacker Nobelium hanno prodotto e utilizzato diverse varianti dannose personalizzate durante le loro intrusioni. Esperti di sicurezza hanno precedentemente identificato quattro diversi campioni, inclusi Sunburst, Sunspot, Raindrop, e Teardrop. E le varianti recentemente scoperte portano questo conteggio a sette, con GoldMax, GoldFinder, e Sibot nell’elenco.
Rilevare gli attacchi APT Nobelium
Per rilevare l’attività dannosa potenziale di Nobelium APT e difendersi proattivamente dal GoldMax, GoldFinder, e Sibot malware, i nostri esperti di Threat Bounty hanno rilasciato regole Sigma per la comunità già disponibili nel Threat Detection Marketplace.
NOBELIUM (GoldMax, GoldFinder e Sibot) usato dagli attaccanti di SolarWinds (Trovato da Microsoft)
Rundll32.exe .sys Carichi immagine per riferimento
Le regole hanno traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Tattiche: Esecuzione, Evasione della Difesa
Tecniche: Esecuzione di Proxy Binari Firmati (T1218)
Per trovare più contenuti di rilevamento che coprano gli attacchi APT Nobelium, ti consigliamo di controllare i nostri articoli di blog precedenti dedicati all’ analisi della violazione di FireEye,, Sunburst and Raindrop Golden SAML Golden SAML attacco, e Panoramica di Dark Halo. overview.
Ottieni un abbonamento gratuito a Threat Detection Marketplace, una piattaforma leader mondiale in Detection as Code per contenuti SOC che fornisce accesso e supporto a oltre 100.000 algoritmi di rilevamento e risposta per oltre 23 tecnologie SIEM, EDR e NTDR leader di mercato. Vuoi creare le tue rilevazioni e condividerle con la comunità globale di difensori informatici? Unisciti al nostro Programma Threat Bounty!