Microsoft verbindet neue Malware mit SolarWinds-Hackern

Cyber Security News

Microsoft hat Details zu einer neuen Malware veröffentlicht, die laut dem Unternehmen von der Gruppe hinter der SolarWinds-Spionagekampagne verwendet wurde. (Microsoft)

Microsoft hat am Donnerstag Details zu späterer Malware veröffentlicht, die von der Gruppe hinter der SolarWinds-Spionagekampagne verwendet wurde, die mehrere Regierungsbehörden und private Firmen, darunter Microsoft und FireEye, angegriffen hat.

Ein koordinierter Blog von FireEye lieferte einen separaten Deep Dive zu einem der Malware-Stämme in dem Microsoft-Beitrag, aber das Unternehmen war weniger zuversichtlich, ihn der SolarWinds-Kampagne zuzuordnen. Laut dem Blog hat FireEye eine Probe aus einem Malware-Repository erhalten.

Microsoft, das diese Hackergruppe jetzt als Nobelium verfolgt, sagte, dass es drei neue Samples von Malware entdeckt hat, die offenbar in einigen kompromittierten Kundennetzwerken zwischen August und September letzten Jahres aktiv waren.

“Diese Fähigkeiten unterscheiden sich von den bisher bekannten Nobelium-Tools und Angriffsmustern und zeigen erneut die Raffinesse des Akteurs. In allen Phasen des Angriffs zeigte der Akteur ein tiefes Wissen über Software-Tools, Implementierungen, Sicherheitssoftware und -systeme, die in Netzwerken üblich sind, sowie über Techniken, die häufig von Incident Response Teams verwendet werden”, schrieb Microsoft.

Gesetzgeber und Anbieter gleichermaßen glauben, dass Nobelium eine Facette des russischen Geheimdienstes ist.

Die beiden Nobelium-Stämme, die von Microsoft, aber nicht von FireEye beschrieben wurden, sind Sibot und GoldFinder. Sibot ist ein zweckentfremdetes VBScript-Programm, das es in drei Varianten gibt. Alle drei laden eine bösartige DLL von einer kompromittierten Website herunter. Die DLL wird mit Hilfe von Win32_Process WMI ausgeführt, was die Rückverfolgung zu Sibot erschwert, das dann die Persistenz beibehalten kann.

GoldFinder verfolgt die Hops, die eine HTTP-Anfrage zurück zum Command-and-Control-Server nimmt. Es wurde in Go geschrieben.

Die von Microsoft und FireEye entdeckte Malware wird von den jeweiligen Firmen GoldMax oder SUNSHUTTLE genannt. Es handelt sich um eine Backdoor der zweiten Stufe, die eine Verbindung zu einem fest programmierten Command-and-Control-Server herstellt. Sie kommuniziert mit diesem Server über Cookie-Header und kann so konfiguriert werden, dass sie ihren Webverkehr als Verweis von beliebten Websites tarnt. Zu diesen Websites gehören Google, Bing und Facebook.

FireEye merkt an, dass der fest kodierte Server über den Domain-Anbieter NameSilo registriert ist, der Bitcoin akzeptiert und in der Vergangenheit von russischen und iranischen Spionagegruppen genutzt wurde. FireEye fand die Malware zwar in einem Opfernetzwerk, das ebenfalls von Nobelium infiltriert wurde, ist aber noch nicht bereit, die Malware dieser Gruppe zuzuordnen.

Sowohl Microsoft als auch FireEye stellen auf ihren Websites Indikatoren für eine Kompromittierung zur Verfügung.

“Angesichts des etablierten Musters dieses Akteurs, für jedes Ziel eine eigene Infrastruktur und eigene Tools zu verwenden, und des operativen Werts der Aufrechterhaltung ihrer Persistenz in kompromittierten Netzwerken ist es wahrscheinlich, dass im Laufe unserer Untersuchung der Aktionen dieses Bedrohungsakteurs weitere Komponenten entdeckt werden”, schrieb Microsoft.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com