东方联盟发现SolarWinds黑客使用的3种新恶意软件
近日,知名网络黑客安全组织东方联盟表示,他们发现了与SolarWinds供应链攻击有关的另外三种恶意软件菌株,其中包括“复杂的第二阶段后门”。这套新的恶意软件被称为GoldMax(又名SUNSHUTTLE),GoldFinder和Sibot,从而增加了越来越多的恶意工具,例如Sunspot,Sunburst(或Solorigate),Teardrop和Raindrop,这些工具被黑客偷偷地传送到企业网络。
东方联盟研究人员表示: “这些工具是该行为者特有的新型恶意软件。” “它们是为特定网络量身定制的,经过评估,将在演员通过受到破坏的凭据或SolarWinds二进制文件获得访问权之后,以及在通过Teardrop和其他手动键盘操作横向移动之后引入。”
研究人员还借此机会将针对SolarWinds攻击的幕后行动者命名为NOBELIUM,网络安全社区也使用不同的绰号来追踪该行动者,包括UNC2452(FireEye),SolarStorm(Palo Alto Unit 42),StellarParticle(CrowdStrike)和黑暗光晕(Volexity)。
在将Sunspot部署到构建环境中以将Sunburst后门注入到SolarWinds的Orion网络监控平台中时,Teardrop和Raindrop主要被用作开发后的工具,可以在网络上横向移动并提供Cobalt Strike Beacon。
东方联盟创始人郭盛华透露:“SUNSHUTTLE是一种基于Golang的恶意软件,发现于2020年8月至2020年9月之间,它充当命令和控制后门,与攻击者控制的服务器建立安全连接,以接收命令来下载和执行文件,将文件从系统上传到服务器,并在受感染计算机上执行操作系统命令。”
研究人员表示,它在UNC2452危害的受害者身上观察到了该恶意软件,但补充说,它无法完全验证后门与威胁参与者的连接。该公司还表示,在未命名的美国实体将其上传到公共恶意软件存储库后,它于2020年8月发现了SUNSHUTTLE。
“新SUNSHUTTLE后门是一个复杂的第二阶段是后门通过其‘混合型’的C2通信业务功能演示简单而优雅的检测逃避技术,” 研究人员的详细介绍。用Go编写的GoldFinder是一个HTTP跟踪器工具,用于记录数据包到达C2服务器所采用的路由。相比之下,Sibot是在VBScript中实现的双重用途恶意软件,旨在从C2服务器下载并执行有效负载之前在受感染的计算机上实现持久性。
即使SolarWinds攻击难题的各个部分都应有尽有,但这种发展再次凸显了用于渗透,传播和持久存在于受害环境中的方法的范围和复杂性。
研究人员说:“这些功能不同于以前已知的NOBELIUM工具和攻击模式,并重申了参与者的先进性。在攻击的所有阶段,参与者都表现出对网络中常见的软件工具,部署,安全软件和系统以及事件响应团队经常使用的技术的深入了解。” (欢迎转载分享)
东方联盟发现SolarWinds黑客使用的3种新恶意软件相关推荐
- 微软和火眼又分别发现SolarWinds 供应链攻击的新后门
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 火眼和微软再次发现SolarWinds 供应链攻击事件中的新后门. 火眼发现一个新后门 Sunshuttle 火眼从其中一个受陷组织机 ...
- 东方联盟郭盛华:物联网供应商Ubiquiti遭受数据泄露
该物联网公司表示,托管"某些" IT系统的云提供商受到了黑客攻击. 物联网和家庭Wi-Fi供应商Ubiquiti今天建议客户在发现其托管在云中的IT系统之一遭到破坏后,更改密码并启 ...
- CISA:企业断网3到5天,赶走网络中的 SolarWinds 黑客
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 美国网络安全和基础设施安全局 (CISA) 发布指南,说明了受 SolarWinds 攻击影响的组织机构应该采取的可将攻击者踢出受陷环境的 ...
- 邮件安全上市公司 Mimecast 的部分源代码被 SolarWinds 黑客盗走
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 邮件安全公司 Mimecast 已证实称年初攻陷其网络的 SolarWinds 黑客盗走了某些仓库的源代码. 攻击者使用 Sunbur ...
- 微软源代码遭 SolarWinds 黑客访问
聚焦源代码安全,网罗国内外最新资讯! SolarWinds 幕后黑客能过够攻陷微软内部账户,查看微软产品的源代码. 2020年12月,微软证实称,在环境中检测到SolarWinds Orion 平台 ...
- SolarWinds 黑客攻击可能与 Turla APT 相关
SolarWinds 黑客攻击可能与 Turla APT 相关 有关在庞大的SolarWinds 供应链攻击中使用的 Sunburst 后门的新细节可能将其与 Turla 高级持续威胁 (APT) 组 ...
- 又躺赚1亿?东方联盟创始人郭盛华,会的仅仅是技术吗?
提起郭盛华,相信做互联网行业的朋友,应该算是无人不知了.他创办的东方联盟更是一个网络安全联盟,是一个让人佩服的"黑客帝国",并且在世界各地都具有超高的知名度,它以独特技术,陪伴至少 ...
- 东方联盟为何那么团结?郭盛华是怎样做到的?
东方联盟,成立于2007年,总部设立广东,是由"黑客"界郭盛华牵头组建的,吸纳了全国众多网络高手,该组织主要反击国外黑客的攻击,保护祖国网络安全. 出身草莽的郭盛华,他是土生土长的 ...
- Microsoft详细介绍了OPSEC,SolarWinds黑客使用的取证技术
导读 微软近日发布了一份报告,详细说明了对IT管理解决方案公司SolarWinds进行攻击的威胁参与者的活动和方法,包括其恶意软件传递方法,反取证行为和操作安全性(OPSEC). 某些人认为是俄罗斯赞 ...
最新文章
- 芯片技术从未止步 助力AI安防迈向新阶段
- CCF-IFAA基金海外参展 全球安全盛会迎来中国声音
- python argv,Python argv函数简介
- 2019年3月20日 894. All Possible Full Binary Trees
- python函数在传参的时候,到底在传些什么?
- SpringBoot如何直接访问HTML页面
- 小程序进阶学习02--安装webstorm
- Abp vNext 自定义 Ef Core 仓储引发异常
- 利用Eclipse的TaskList功能进行任务管理
- 【springmvc+mybatis项目实战】杰信商贸-29.购销合同技术难点分析
- GIS:深圳独立坐标系与国家2000坐标系互转教程
- Python 四大名著词频画图
- c++实现n阶行列式计算
- WMS入库作业_核心业务流程
- Machine Learning in Action -- AdaBoost
- 基于图像的三维重建研究
- 如何判断微信公众号是否二次开发(一)
- 人脸识别门禁系统(二)
- vue项目 乐橙云(imouplayer.js)--轻应用直播SDK demo案例(保姆级)
- 基于sys文件系统的LED驱动的移植【原创】