SolarWinds供应链攻击中的三种新恶意软件被发现
Microsoft威胁情报中心最近在针对SolarWinds供应链攻击的调查中发现三种新的恶意软件:GoldMax(被FireEye称为“SUNSHUTTLE”),GoldFinder和Sibot。这些恶意软件针对特定网络定制,最早可能在2020年6月便投入使用。在攻击者获得访问,进行横向移动后使用。GoldMax使用Go语言编写,充当C2后门,使用了多种技术来混淆和逃避检测,包括将加密的配置文件写入磁盘。使用唯一的基于环境变量和运行的网络信息的文件名和AES-256密码密钥,使用会话秘钥与C2进行通信,其C2通过伪随机生成的Cookie发送命令,硬编码Cookie是唯一的。Sibot目的为在受感染的计算上实现持久性,通过一个合法但受到感染的网站下载并执行有效负载。受感染网站包括医疗设备制造商和IT服务提供商,不同网站托管的有效载荷都不一样。GoldFinder是一个Go编写的工具,用作自定义HTTP跟踪器,其记录数据包到达硬编码的C2服务器的路由或跳数。
APT情报 SibotGoldMaxGoldFinder
情报来源: 天际友盟
2021/03/05
更新来源: 天际友盟