Microsoft révèle 3 nouvelles variantes de logiciels malveillants liées à la cyberattaque SolarWinds

Microsoft a révélé trois nouvelles variantes de logiciels malveillants liées à la cyberattaque SolarWinds. Dans le même temps, il a également donné à l'acteur de la menace derrière SolarWinds un nom de suivi spécifique: Nobelium.

Les informations récemment divulguées donnent un meilleur aperçu de l'énorme cyberattaque qui a fait figurer plusieurs agences gouvernementales américaines dans sa liste de victimes.

Microsoft révèle plusieurs variantes de logiciels malveillants

Dans un article récent à son officiel Blog sur la sécurité Microsoft, la société a révélé la découverte de trois types de logiciels malveillants supplémentaires liés à la cyberattaque SolarWinds: GoldMax, Sibot, et GoldFinder.

Microsoft évalue que les logiciels malveillants nouvellement apparus ont été utilisés par l'acteur pour maintenir la persistance et effectuer des actions sur des réseaux très spécifiques et ciblés après la compromission, même en évitant la détection initiale lors d'un incident réponse.

Les nouvelles variantes de logiciels malveillants ont été utilisées dans les dernières étapes de l'attaque SolarWinds. Selon l'équipe de sécurité de Microsoft, les nouveaux outils d'attaque et les types de logiciels malveillants se sont avérés être utilisation entre août et septembre 2020, mais peut avoir "été sur des systèmes compromis dès juin 2020."

En outre, ces types de logiciels malveillants entièrement nouveaux sont «propres à cet acteur» et «conçus sur mesure pour des réseaux spécifiques», tandis que chaque variante a des capacités différentes.

• GoldMax: GoldMax est écrit en Go et agit comme une porte dérobée de commande et de contrôle qui cache les activités malveillantes sur l'ordinateur cible. Comme lors de l'attaque SolarWinds, GoldMax peut générer un trafic réseau leurre pour masquer son trafic réseau malveillant, lui donnant l'apparence d'un trafic régulier.
• Sibot: Sibot est un malware à double usage basé sur VBScript qui maintient une présence persistante sur le réseau cible et permet de télécharger et d'exécuter une charge utile malveillante. Microsoft note qu'il existe trois variantes du malware Sibot, qui ont toutes des fonctionnalités légèrement différentes.
• GoldFinder: Ce malware est également écrit en Go. Microsoft pense qu'il a été "utilisé comme outil de suivi HTTP personnalisé" pour la journalisation des adresses de serveur et d'autres infrastructures impliquées dans la cyberattaque.

En rapport: Microsoft révèle la cible réelle de la cyberattaque SolarWinds

Il y a plus à venir de SolarWinds

Bien que Microsoft pense que la phase d'attaque de SolarWinds est probablement terminée, une plus grande partie de l'infrastructure sous-jacente et des variantes de logiciels malveillants impliquées dans l'attaque attendent toujours d'être découvertes.

Avec le modèle établi de cet acteur consistant à utiliser une infrastructure et des outils uniques pour chaque cible, et la valeur opérationnelle du maintien de leur persistance sur les réseaux compromis, il est probable que des composants supplémentaires seront découverts au fur et à mesure de notre enquête sur les actions de cet acteur de la menace continue.

La révélation que plus de types de logiciels malveillants et plus d'infrastructures n'ont pas encore été trouvés ne sera pas une surprise pour ceux qui suivent cette saga en cours. Récemment, Microsoft a révélé la deuxième phase de SolarWinds, détaillant comment les attaquants ont accédé aux réseaux et ont maintenu une présence pendant la longue période pendant laquelle ils n'ont pas été détectés.

Microsoft confirme la violation de SolarWinds affectant les produits de base

Le géant de la technologie est la dernière victime de l'attaque SolarWinds en cours.

A propos de l'auteur