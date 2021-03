Caso Solarwinds, Microsoft e FireEye scoprono nuovi malware Sunshuttle, GoldMax, Sibot e GoldFinder sono attacchi di secondo livello, realizzati su sistemi vulnerabili già infettati. Pubblicato il 08 marzo 2021 da Redazione

Continua la saga Solarwinds con la scoperta di nuovi malware e backdoor collegati alla vulnerabilità del software Orion, la piattaforma per il monitoraggio delle prestazioni IT usata dai clienti di Solarwinds. La scoperta della backdoor, battezzata Sunshuttle , è opera della divisione Mandiant Threat Intelligence di Fireeye: si tratta, probabilmente, di una backdoor di secondo stadio, installata cioè come secondo passaggio da un vettore di infezione la cui identità è ignota. Il suo scopo è quello di ispezionare le reti.

Sunshuttle opera in modo molto sofisticato, usando diverse tecniche di evasione per sfuggire ai rilevamenti delle soluzioni di cybersicurezza. La backdoor, scritta in GO, è capace di leggere le configurazioni di file embedded o locali, può comunicare con un server di comando e controllo attraverso protocollo Https e permette agli attaccanti di svolgere da remoto azioni di vario tipo (modificare configurazioni, caricare e scaricare file, eseguire codice arbitrario).

Le scoperte di Microsoft: GoldMax, Sibot e GoldFinder

I ricercatori di Microsoft hanno invece scoperto tre malware , GoldMax, Sibot e GoldFinder, usati per realizzare attacchi fra agosto e settembre del 2020 ai danni delle aziende clienti di Solarwinds. Più precisamente, sarebbero stati usati come attacco di secondo livello su sistemi già precedentemente compromessi.