• 东方联盟发现SolarWinds黑客使用的3种新恶意软件


    近日,知名网络黑客安全组织东方联盟表示,他们发现了与SolarWinds供应链攻击有关的另外三种恶意软件菌株,其中包括“复杂的第二阶段后门”。这套新的恶意软件被称为GoldMax(又名SUNSHUTTLE),GoldFinder和Sibot,从而增加了越来越多的恶意工具,例如Sunspot,Sunburst(或Solorigate),Teardrop和Raindrop,这些工具被黑客偷偷地传送到企业网络。

    东方联盟研究人员表示: “这些工具是该行为者特有的新型恶意软件。” “它们是为特定网络量身定制的,经过评估,将在演员通过受到破坏的凭据或SolarWinds二进制文件获得访问权之后,以及在通过Teardrop和其他手动键盘操作横向移动之后引入。”

    研究人员还借此机会将针对SolarWinds攻击的幕后行动者命名为NOBELIUM,网络安全社区也使用不同的绰号来追踪该行动者,包括UNC2452(FireEye),SolarStorm(Palo Alto Unit 42),StellarParticle(CrowdStrike)和黑暗光晕(Volexity)。

    在将Sunspot部署到构建环境中以将Sunburst后门注入到SolarWinds的Orion网络监控平台中时,Teardrop和Raindrop主要被用作开发后的工具,可以在网络上横向移动并提供Cobalt Strike Beacon。

    东方联盟创始人郭盛华透露:“SUNSHUTTLE是一种基于Golang的恶意软件,发现于2020年8月至2020年9月之间,它充当命令和控制后门,与攻击者控制的服务器建立安全连接,以接收命令来下载和执行文件,将文件从系统上传到服务器,并在受感染计算机上执行操作系统命令。”

    研究人员表示,它在UNC2452危害的受害者身上观察到了该恶意软件,但补充说,它无法完全验证后门与威胁参与者的连接。该公司还表示,在未命名的美国实体将其上传到公共恶意软件存储库后,它于2020年8月发现了SUNSHUTTLE。

    “新SUNSHUTTLE后门是一个复杂的第二阶段是后门通过其‘混合型’的C2通信业务功能演示简单而优雅的检测逃避技术,” 研究人员的详细介绍。用Go编写的GoldFinder是一个HTTP跟踪器工具,用于记录数据包到达C2服务器所采用的路由。相比之下,Sibot是在VBScript中实现的双重用途恶意软件,旨在从C2服务器下载并执行有效负载之前在受感染的计算机上实现持久性。

    即使SolarWinds攻击难题的各个部分都应有尽有,但这种发展再次凸显了用于渗透,传播和持久存在于受害环境中的方法的范围和复杂性。

    研究人员说:“这些功能不同于以前已知的NOBELIUM工具和攻击模式,并重申了参与者的先进性。在攻击的所有阶段,参与者都表现出对网络中常见的软件工具,部署,安全软件和系统以及事件响应团队经常使用的技术的深入了解。” (欢迎转载分享)

  • 相关阅读:
    Struts2学习笔记:DMI,多个配置文件,默认Action,后缀
    Sturts2中Action的搜索顺序
    配置Struts2后运行jsp出现404的解决方法
    Tomcat服务器启动后访问localhost:8080显示404的原因
    Error:Cannot find bean: "org.apache.struts.taglib.html.BEAN" in any scope
    Missing message for key "xxx" in bundle "(default bundle)" for locale zh_CN
    jQuery添加删除
    jQuery的offset、position、scroll,元素尺寸、对象过滤、查找、文档处理
    jQuery_$方法、属性、点击切换
    jQuery选择器
  • 原文地址:https://www.cnblogs.com/hacker520/p/14490928.html
Copyright © 2020-2023  润新知