Weitere Malware-Familien der Solarwinds-Kampagne enttarnt

5. März 2021, 10:42
image

Die ausgeklügelte Schadsoftware für Late-Stage-Aktionen unterstreicht das Niveau des Angriffs. Laut Microsoft dürfte es nicht die letzte Entdeckung sein.

Microsoft hat bei seinen Untersuchungen des Solarwinds-Hacks drei neue Malware-Stämme entdeckt: Goldmax, Sibot und Goldfinder. Diese wurden laut eines Blogbeitrags des Konzerns in kompromittierten Netzwerken von Microsoft-Kunden entdeckt. Sie waren dort vermutlich für spätere Aktivitäten zwischen August und September 2020 eingesetzt worden.
"Microsoft geht davon aus, dass die neu aufgetauchten Malware-Stämme vom Akteur verwendet wurden, um nach der Kompromittierung persistent zu bleiben und Aktionen auf sehr spezifischen Netzwerken durchzuführen. Zudem sollte die anfängliche Entdeckung während der Incident Response umgangen werden", schreibt das Unternehmen.
Microsoft tauft die Angreifer hinter der Kampagne auf den Namen Nobelium und schreibt: "In allen Phasen des Angriffs zeigte der Akteur ein fundiertes Wissen über Software-Tools, Implementierungen, Security-Software und -Systeme sowie über Techniken, die häufig von Incident-Response-Teams verwendet werden." Es sei wahrscheinlich, dass im Zuge der Untersuchungen weitere neue Malware-Familien auftauchen.
Auch die Security-Forscher von Fireeye haben eine neue "ausgeklügelte Second-Stage-Backdoor" enthüllt, die beim Solarwinds-Angriff zum Einsatz gekommen sein soll. Sie wurde auf Sunshuttle getauft. Es ist nicht ersichtlich, ob es sich dabei um einen der von Microsoft benannten Schädlinge handelt, die beiden Firmen nehmen in ihren Mitteilungen keinen Bezug aufeinander.

Dafür wurde die neu entdeckte Malware eingesetzt

  • Goldmax wurde verwendet, um bösartige Aktivitäten zu verbergen und der Erkennung zu entgehen. Sie sollte schädlichen Netzwerkverkehr als harmlos verschleiern.
  • Sibot sollte die Persistenz im Netzwerk sicherstellen und zum Nachladen zusätzlicher Malware dienen.
  • Goldfinder wurde "höchstwahrscheinlich" als benutzerdefiniertes HTTP-Tracer-Tool zum Aufspüren von Servern und Redirectors wie Netzwerksecuritygeräten zwischen den infizierten Rechnern und dem C&C-Server verwendet.
  • Sunshuttle sollte verhindern, dass die Kommunikation mit dem C&C-Server der Angreifer entdeckt wird.
Die technischen Details und weitere Angaben findet man in den Blogbeiträgen von Microsoft und Fireeye.

Loading

Mehr zum Thema

image

Änderung an WAN-Router führte zu Microsoft-Ausfall

Vergangene Woche sind verschiedene Applikationen und Dienste von Microsoft ausgefallen. In einem vorläufigen Bericht erklärt der Kon­zern, wie es dazu kommen konnte.

publiziert am 30.1.2023
image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023