微软和火眼又分别发现SolarWinds 供应链攻击的新后门
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
火眼和微软再次发现SolarWinds 供应链攻击事件中的新后门。
火眼发现一个新后门 Sunshuttle
火眼从其中一个受陷组织机构的服务器上发现了一个新的“复杂的第二阶段后门”,被称为 “Sunshuttle”,由“一家位于美国的实体在2020年8月上传到恶意软件公开库“。
火眼公司的研究员 Lindsay Smith、Jonathan Leathery 和 Ben Read 认为 Sunshuttle 和 SolarWinds 供应链攻击事件的幕后黑手有关。火眼公司指出,“Mandiant 公司在由 UNC2452 攻陷的受害者处发现了 SUNSHUTTLE,并有线索表明与 UNC2542 之间存在关联但这种关联尚未完全证实。“
Sunshuttle 用 Go 语言编写,具有逃避检测的能力。目前,虽然尚不清楚用于安装该后门的感染向量是什么,但“很可能“当作第二阶段后门释放。火眼公司指出,”新后门 Sunshuttle 是复杂的第二阶段后门,具有直接但优雅的躲避技术,通过 C2 通信的“混合“流量能力实现。Sunshuttle 在这类攻陷中将被用作第二阶段后门,和其它与Sunburst 相关工具一起用于网络侦查。”
第五款SolarWinds 恶意软件
如果火眼公司发现的这款恶意软件被证实与 SolarWinds 攻击者之间确实存在关联,那么就是该供应链事件中出现的第五款恶意软件。SolarWinds 供应链攻击的幕后黑手被认为是 UNC2452(火眼)或 StellarParticle (CrowdStrike) 或SolarStorm (Polo Alto Unit 42) 或Dark Halo (Volexity)。
前四款恶意软件分别是 Sunspot、Sunburst (Solorigate)、Teardrop 和 Raindrop。在调查期间,Palo Alto Networks Unit 42 和微软还发现了另外一款恶意软件 SuperNova,虽然它和 UNC2452 之间并不存在关联,但也是通过 Orion 木马版本传递。
微软发现三款恶意软件
微软称从受害者网络上发现了第二阶段 payload,并称之为 “Nobelium”。微软威胁情报中心和微软365防御者研究团队将这三个新型恶意软件命名为 “GoldMax”、“Sibot” 和 “GoldFinder”。
Nobelium 黑客在2020年8月至9月期间在后期阶段使用了这些恶意软件。然而,研究人员认为 Nobelium 早在2020年6月就在受陷的 SolarWinds 客户系统上释放了这些恶意软件。
微软指出,这些恶意软件用于“维持可持久性以及在攻陷后阶段针对非常具体的和目标网络执行操作,甚至在事件响应阶段逃避初始检测。它们专用于特定网络,并且是在攻击者通过受陷凭据或 SolarWinds 二进制获得访问权限之后以及通过 TEARDROP 和其它键盘操作横向移动之后而引入的”。
微软指出,这三款恶意软件具有如下能力:
GoldMax:基于 Go 语言的恶意软件且用于隐藏恶意活动和逃避检测的命令和控制后门。同时它具有诱饵网络流量生成器,用于隐藏看似良性流量的恶意网络流量。
Sibot:基于 VBScript 的恶意软件,用于维持可持久性以及使用第二阶段脚本下载其它恶意软件 payload。
GoldFinder:基于 Go 语言的恶意软件,“很可能”用作自定义 HTTP 追踪工具,用于检测服务器和重定向器如受感染设备和 C2 服务器之间的网络安全设备。
是否存在关联?
火眼和微软并未说明它们分别发现的恶意软件之间是否存在关联,但从 Sunshuttle 和 GoldMax 共享一个 C2 域名及其隐藏 C2 流量的能力来看,二者很可能是同一款恶意软件。微软指出,“这些能力与之前已知的 NOBELIUM 工具和攻击模式之间有所不同,而且增强了该行动者的复杂性。在攻击的所有阶段,该行动者体现了对常用于网络中的软件工具、部署、安全软件和系统以及事件响应团队经常使用的技术的深刻理解。“
微软还表示上个月SolarWinds 黑客还从数量有限的 Azure、Intune 和 Exchange 组件中下载了源代码。
本周一,SolarWinds 公司指出截止2020年12月,该供应链攻击事件带来的成本约为350万美元。在下个财务期间,应该还会生成更多的成本。
火眼发布的详情报告:
https://www.fireeye.com/blog/threat-research/2021/03/sunshuttle-second-stage-backdoor-targeting-us-based-entity.html
微软发布的详情报告:https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/
推荐阅读
微软结束 SolarWinds 事件调查:部分源代码被盗,1000人参与
SolarWinds 软件出现3个新的严重漏洞
CISA:很多受害者和 SolarWinds 之间并不直接相关
SolarWinds 供应链攻击中的第四款恶意软件及其它动态
SolarWinds 供应链攻击中的第三款恶意软件
微软源代码遭 SolarWinds 黑客访问
FireEye动态:SolarWinds Orion 新 0day用于安装SUPERNOVA
FireEye事件新动态:APT 攻击 SolarWinds 全球供应链(详解)
原文链接
https://www.bleepingcomputer.com/news/security/fireeye-finds-new-malware-likely-linked-to-solarwinds-hackers/
https://www.bleepingcomputer.com/news/security/microsoft-reveals-3-new-malware-strains-used-by-solarwinds-hackers/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
微软和火眼又分别发现SolarWinds 供应链攻击的新后门相关推荐
- 微软:SolarWinds 供应链攻击事件幕后黑手攻击全球24国政府
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 微软威胁情报中心 (MSTIC) 称,SolarWinds 供应链攻击幕后的俄罗斯黑客组织瞄准全球各政府机构,发动钓鱼攻击活动. MSTI ...
- SolarWinds 供应链攻击中的第四款恶意软件及其它动态
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 网络安全公司赛门铁克指出,从 SolarWinds 供应链攻击中找到了第四款恶意软件并将其命名为 Raindrop.之前找到的三款恶意 ...
- SolarWinds 供应链攻击中的第三款恶意软件
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 网络安全公司 CrowdStrike 是直接参与调查 SolarWinds 供应链攻击事件的公司之一.今天,该公司表示发现了直接参与该攻击的 ...
- 【网络间谍篇】SolarWinds供应链攻击事件的来龙去脉
2020年11月底,FireEye的审查员在内部安全日志审计中发现一条安全警告:一位员工注册了一个新的手机号码接收双因素认证验证码.然而据该员工反馈,这段时间并未在系统中注册新的手机号码,FireEy ...
- SolarWinds供应链攻击事件带来的启示
SolarWinds供应链攻击事件带来的启示 一.概述 二.事件分析 1.SUNBURST后门 2.深入恶意软件分析 传播和安装 初始化 DGA和阻止列表 网络命令和控制(C2) 支持的命令 3.行为 ...
- SolarWinds 供应链攻击通告
报告编号:B6-2020-121403 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-14 0x01 漏洞简述 2020年12月14日,360CERT监测发现 Fire ...
- 第65篇:探索顶级APT后门Sunburst的设计思路(Solarwinds供应链攻击中篇)
Part1 前言 大家好,我是ABC_123.上周写了一篇<史上最严重的APT供应链攻击事件,借助Solarwinds攻击欧美的流程图梳理和分析(上篇)>反响还不错.由于该APT供应链 ...
- 第65篇:探索顶级APT后门Sunburst的设计思路(修正篇)Solarwinds供应链攻击中篇...
Part1 前言 由于先前文章存在部分错误,原文ABC_123已删除,上周末把文章修正,重新发布. 大家好,我是ABC_123.之前写了一篇<史上最严重的APT供应链攻击事件,借助Solar ...
- SolarWinds 攻击者开发的新后门 FoggyWeb
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软发现SolarWinds 攻击者开发出一款新的利用后后门,用于获得对 Directory Federation Services (AD F ...
最新文章
- Linux C编程--线程操作3--线程属性解析
- ubuntu21.04截图快捷键
- 一个按键控制数码管的开和关_基于FPGA的数字电路实验3:点亮数码管
- Docker的基本使用(部署python项目)+两个奇技淫巧,将 Docker 镜像体积减小 99%
- Android ListView 下拉刷新 上拉更多[实例]
- 超简单版Python打包exe文件,并修改图标,这将是你见过最容易上手的教程~
- 1168: mxh对lfx的询问(前缀和+素数表)
- Ubuntu下Git安装图形化代码合并工具kdiff3
- java-xx参数介绍及调优总结
- yxy小蒟蒻的201111总结
- VS项目下写.bat脚本清理中间文件,减少内存空间
- win10使用VMware Workstations安装CentOS
- 天地图实现标注用户当前坐标位置
- echarts数据可视化系列:仪表盘
- m扩频通信系统在瑞利信道中的误码率性能matlab仿真
- Sitemesh 初探
- VVC中对CU进行分类,同时进行分区模式选择
- 用Python程序去计算三种规则的三维几何结构角系数
- 消费升级下中国功能食品市场新增千亿规模,行业亟待洗牌和变革
- java字符串的拆分_Java中的字符串分割 .
热门文章
- zabbix items复制
- IOS UITextField
- 如果要学习web前端,需要学习什么
- hadoop-0.20.1+120 hive-0.3.99.1+0 试用hwi(hive web interface
- 项目管理工具Redmine各功能测试
- SGU 274 Spam-filter
- 很多时候的心情,是需要一个无人的角落
- python提供了名称为什么的构造方法_python面向对象编程(1)——基本概念,术语,self,构造器...
- 485通讯的校验和_RS485通讯如何实现三菱PLC对三菱变频器的控制?
- android-circlebutton介绍