近日，知名網絡黑客安全組織東方聯盟表示，他們發現了與SolarWinds供應鏈攻擊有關的另外三種惡意軟件菌株，其中包括“復雜的第二階段后門”。這套新的惡意軟件被稱為GoldMax（又名SUNSHUTTLE），GoldFinder和Sibot，從而增加了越來越多的惡意工具，例如Sunspot，Sunburst（或Solorigate），Teardrop和Raindrop，這些工具被黑客偷偷地傳送到企業網絡。

東方聯盟研究人員表示： “這些工具是該行為者特有的新型惡意軟件。” “它們是為特定網絡量身定制的，經過評估，將在演員通過受到破壞的憑據或SolarWinds二進制文件獲得訪問權之后，以及在通過Teardrop和其他手動鍵盤操作橫向移動之后引入。”

研究人員還借此機會將針對SolarWinds攻擊的幕后行動者命名為NOBELIUM，網絡安全社區也使用不同的綽號來追蹤該行動者，包括UNC2452（FireEye），SolarStorm（Palo Alto Unit 42），StellarParticle（CrowdStrike）和黑暗光暈（Volexity）。

在將Sunspot部署到構建環境中以將Sunburst后門注入到SolarWinds的Orion網絡監控平臺中時，Teardrop和Raindrop主要被用作開發后的工具，可以在網絡上橫向移動并提供Cobalt Strike Beacon。

東方聯盟創始人郭盛華透露：“SUNSHUTTLE是一種基于Golang的惡意軟件，發現于2020年8月至2020年9月之間，它充當命令和控制后門，與攻擊者控制的服務器建立安全連接，以接收命令來下載和執行文件，將文件從系統上傳到服務器，并在受感染計算機上執行操作系統命令。”

研究人員表示，它在UNC2452危害的受害者身上觀察到了該惡意軟件，但補充說，它無法完全驗證后門與威脅參與者的連接。該公司還表示，在未命名的美國實體將其上傳到公共惡意軟件存儲庫后，它于2020年8月發現了SUNSHUTTLE。

“新SUNSHUTTLE后門是一個復雜的第二階段是后門通過其‘混合型’的C2通信業務功能演示簡單而優雅的檢測逃避技術，”?研究人員的詳細介紹。用Go編寫的GoldFinder是一個HTTP跟蹤器工具，用于記錄數據包到達C2服務器所采用的路由。相比之下，Sibot是在VBScript中實現的雙重用途惡意軟件，旨在從C2服務器下載并執行有效負載之前在受感染的計算機上實現持久性。

即使SolarWinds攻擊難題的各個部分都應有盡有，但這種發展再次凸顯了用于滲透，傳播和持久存在于受害環境中的方法的范圍和復雜性。

研究人員說：“這些功能不同于以前已知的NOBELIUM工具和攻擊模式，并重申了參與者的先進性。在攻擊的所有階段，參與者都表現出對網絡中常見的軟件工具，部署，安全軟件和系統以及事件響應團隊經常使用的技術的深入了解。” （歡迎轉載分享）

總結

以上是生活随笔為你收集整理的东方联盟发现SolarWinds黑客使用的3种新恶意软件的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。