Microsoft en FireEye ontdekken nieuwe malware SolarWinds-aanvallers
Microsoft en securitybedrijf FireEye hebben nieuwe malware ontdekt die is ingezet door de aanvallers achter de SolarWinds-aanval. De malware werd ontdekt op de netwerken van gecompromitteerde klanten en is zeer waarschijnlijk geïnstalleerd via de SolarWinds-backdoor of gestolen inloggegevens, aldus Microsoft. De malware werd volgens het techbedrijf gebruikt voor het behouden van toegang tot slachtoffers, het uitvoeren van specifieke acties op gecompromitteerde netwerken en het vermijden van detectie tijdens incident response.
Microsoft beschrijft in totaal drie nieuwe malware-exemplaren genaamd GoldMax, Sibot en GoldFinder. GoldMax is een zogeheten command-and-control backdoor waarmee de aanvallers besmette machines kunnen aansturen. Zodra de malware voor de eerste keer wordt uitgevoerd zal die een lijst met netwerkinterfaces van het systeem ophalen. Zijn er geen netwerkinterfaces beschikbaar, dan schakelt GoldMax zichzelf uit.
De malware stopt ook met werken wanneer het MAC-adres c8:27:cc:c2:37:5a wordt aangetroffen. Dit is het standaard MAC-adres van een Microsoft Hyper-V netwerkadapter, stelt Dmitry Bestuzhev van antivirusbedrijf Kaspersky. GoldMax, door FireEye Sunshuttle genoemd, beschikt daarnaast over een feature om netwerk naar legitieme domeinen te genereren, om zo het eigen malafide verkeer te verbergen.
De Sibot-malware heeft twee taken, namelijk op het systeem actief blijven en het installeren van een payload afkomstig van een command-and-control server. Microsoft ontdekte drie varianten van Sibot. Daarbij doet de malware zich voor als een legitieme Windows-taak. Als laatste wordt GoldFinder beschreven. Dit is een "http-tracertool" die de route of hops van een pakketje naar de command-and-control server vastlegt. Zo kunnen de aanvallers zien langs welke punten een http-request gaat en kan worden gelogd of door verdedigers worden ontdekt.
Microsoft en FireEye verschillende Indicators of compromise (IOC's) beschikbaar gemaakt waarmee organisaties kunnen kijken of de malware op hun systemen aanwezig is of was. Het gaat om hashes van de malwarebestanden en domeinen en ip-adressen waarmee de malware communiceert. Volgens de techbedrijven zou de malware van juni 2020 tot en met september 2020 actief zijn geweest op de netwerken van slachtoffers.
Het zal ongetwijfeld zijn dat Microsoft en/of FireEye klanten hebben die gecompromitteerd zijn, maar het is in deze context aannemelijker dat de netwerken van de klanten zijn gecompromitteerd.
Ontopic:
Het lijkt erop alsof de beerput van Solarwinds steeds verder open gaat. Hopelijk is dit het laatste, maar gezien de lange tijd die de aanvallers persistent hebben gehad valt nog veel meer te verwachten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
