近日,知名网络黑客安全组织东方联盟表示,他们发现了与SolarWinds供应链攻击有关的另外三种恶意软件菌株,其中包括“复杂的第二阶段后门”。这套新的恶意软件被称为GoldMax(又名SUNSHUTTLE),GoldFinder和Sibot,从而增加了越来越多的恶意工具,例如Sunspot,Sunburst(或Solorigate),Teardrop和Raindrop,这些工具被黑客偷偷地传送到企业网络。
东方联盟研究人员表示: “这些工具是该行为者特有的新型恶意软件。” “它们是为特定网络量身定制的,经过评估,将在演员通过受到破坏的凭据或SolarWinds二进制文件获得访问权之后,以及在通过Teardrop和其他手动键盘操作横向移动之后引入。”
研究人员还借此机会将针对SolarWinds攻击的幕后行动者命名为NOBELIUM,网络安全社区也使用不同的绰号来追踪该行动者,包括UNC2452(FireEye),SolarStorm(Palo Alto Unit 42),StellarParticle(CrowdStrike)和黑暗光晕(Volexity)。
在将Sunspot部署到构建环境中以将Sunburst后门注入到SolarWinds的Orion网络监控平台中时,Teardrop和Raindrop主要被用作开发后的工具,可以在网络上横向移动并提供Cobalt Strike Beacon。
东方联盟创始人郭盛华透露:“SUNSHUTTLE是一种基于Golang的恶意软件,发现于2020年8月至2020年9月之间,它充当命令和控制后门,与攻击者控制的服务器建立安全连接,以接收命令来下载和执行文件,将文件从系统上传到服务器,并在受感染计算机上执行操作系统命令。”
研究人员表示,它在UNC2452危害的受害者身上观察到了该恶意软件,但补充说,它无法完全验证后门与威胁参与者的连接。该公司还表示,在未命名的美国实体将其上传到公共恶意软件存储库后,它于2020年8月发现了SUNSHUTTLE。
“新SUNSHUTTLE后门是一个复杂的第二阶段是后门通过其‘混合型’的C2通信业务功能演示简单而优雅的检测逃避技术,” 研究人员的详细介绍。用Go编写的GoldFinder是一个HTTP跟踪器工具,用于记录数据包到达C2服务器所采用的路由。相比之下,Sibot是在VBScript中实现的双重用途恶意软件,旨在从C2服务器下载并执行有效负载之前在受感染的计算机上实现持久性。
即使SolarWinds攻击难题的各个部分都应有尽有,但这种发展再次凸显了用于渗透,传播和持久存在于受害环境中的方法的范围和复杂性。
研究人员说:“这些功能不同于以前已知的NOBELIUM工具和攻击模式,并重申了参与者的先进性。在攻击的所有阶段,参与者都表现出对网络中常见的软件工具,部署,安全软件和系统以及事件响应团队经常使用的技术的深入了解。” (欢迎转载分享)