Microsoft đã tiết lộ thông tin về phần mềm độc hại mới được phát hiện mà tin tặc SolarWinds triển khai trên mạng của nạn nhân dưới dạng tải trọng giai đoạn hai.
Công ty hiện đang theo dõi "kẻ tấn công tinh vi" đã sử dụng phần mềm độc hại Sunburst backdoor và Teardrop trong cuộc tấn công vào chuỗi cung ứng của SolarWinds như Nobelium.
Các nhà nghiên cứu bảo mật từ Microsoft Threat Intelligence Center (MSTIC) và Nhóm nghiên cứu Microsoft 365 Defender đã tìm thấy ba chủng phần mềm độc hại mới có tên GoldMax, Sibot và GoldFinder.
Các chủng phần mềm độc hại này đã được tin tặc Nobelium sử dụng trong giai đoạn hoạt động cuối cùng từ tháng 8 đến tháng 9 năm 2020. Tuy nhiên, người ta tin rằng Nobelium đã loại bỏ chúng trên các hệ thống bị xâm nhập của khách hàng SolarWinds sớm nhất là vào tháng 6 năm 2020.
"Microsoft đánh giá rằng kẻ gian đã sử dụng các phần mềm độc hại mới xuất hiện để duy trì tính bền bỉ và thực hiện các hành động mạng được nhắm mục tiêu và có mục tiêu cao sau khi bị xâm nhập, thậm chí trốn tránh sự phát hiện ban đầu trong quá trình ứng phó sự cố", công ty cho biết.
"Chúng được thiết kế riêng cho các mạng cụ thể và phần giới thiệu của chúng được đánh giá sau khi diễn viên đã có được quyền truy cập thông qua thông tin đăng nhập bị xâm phạm hoặc hệ nhị phân SolarWinds và sau khi di chuyển ngang với TEARDROP và các hành động thực tế khác trên bàn phím."
Theo Microsoft, các chủng phần mềm độc hại này có các khả năng sau:
GoldMax - Phần mềm độc hại dựa trên Go được sử dụng như một lệnh và kiểm soát cửa hậu để ẩn hoạt động độc hại và tránh bị phát hiện. Nó cũng có một trình tạo lưu lượng mạng mồi nhử để ẩn lưu lượng mạng độc hại với lưu lượng có vẻ lành tính.
Sibot - Phần mềm độc hại dựa trên VBScript được sử dụng để duy trì sự bền bỉ và tải xuống các phần mềm độc hại bổ sung bằng cách sử dụng tập lệnh giai đoạn hai
GoldFinder - Phần mềm độc hại dựa trên Go "có nhiều khả năng" được sử dụng làm công cụ theo dõi HTTP tùy chỉnh để phát hiện máy chủ và trình chuyển hướng, chẳng hạn như thiết bị bảo mật mạng, giữa các thiết bị bị nhiễm và máy chủ C2.
Đầu ngày hôm nay, FireEye cũng đã chia sẻ thông tin về một backdoor giai đoạn hai mới khác được phát hiện trên máy chủ của một tổ chức bị tin tặc tại SolarWinds xâm nhập.
Các nhà nghiên cứu FireEye tin rằng phần mềm độc hại mới có tên Sunshuttle có liên quan đến các tin tặc SolarWinds theo dõi như UNC2452 (FireEye), StellarParticle (CrowdStrike), SolarStorm (Palo Alto Unit 42), Dark Halo (Volexity) và bây giờ là Nobelium (Microsoft).
Mặc dù Microsoft và FireEye không có mối liên hệ nào giữa phần mềm độc hại mà họ tiết lộ hôm nay, nhưng Sunshuttle và GoldMax dường như chỉ định cùng một loại phần mềm độc hại dựa trên miền C2 mà họ chia sẻ và khả năng ẩn lưu lượng truy cập C2 của họ.
"Những khả năng này khác với các công cụ và mẫu tấn công NOBELIUM đã biết trước đây, đồng thời nhắc lại sự tinh vi của tác nhân", Microsoft cho biết.
"Ở tất cả các giai đoạn của cuộc tấn công, diễn viên đã thể hiện sự hiểu biết sâu sắc về các công cụ, triển khai, phần mềm và hệ thống phần mềm an ninh mạng phổ biến cũng như các kỹ thuật thường được các nhóm ứng phó sự cố sử dụng."
Microsoft cũng cho biết vào tháng trước rằng tin tặc tại SolarWinds đã tải xuống mã nguồn cho một số thành phần Azure, Intune và Exchange có giới hạn.
Hôm thứ Hai, SolarWinds tiết lộ khoản chi khoảng 3,5 triệu đô la cho đến tháng 12 năm 2020 từ cuộc tấn công chuỗi cung ứng năm ngoái. Chi phí bổ sung sẽ cao trong những năm tài chính tiếp theo.
Văn bản được dịch từ tiếng Tây Ban Nha sang tiếng Việt với Google Dịch
Tôi cảm thấy sự bất tiện của những từ bị dịch sai
xem phần còn lại của bài viết
