08/03/2021 di Redazione

Caso Solarwinds, Microsoft e FireEye scoprono nuovi malware

Sunshuttle, GoldMax, Sibot e GoldFinder sono attacchi di secondo livello, realizzati su sistemi vulnerabili già infettati.

immagine.jpg

Continua la saga Solarwinds con la scoperta di nuovi malware e backdoor collegati alla vulnerabilità. La scoperta della backdoor, battezzata Sunshuttle, è opera della divisione Mandiant Threat Intelligence di Fireeye: si tratta, probabilmente, di una backdoor di secondo stadio, installata cioè come secondo passaggio da un vettore di infezione la cui identità è ignota. Il suo scopo è quello di ispezionare le reti. 

 

Sunshuttle opera in modo molto sofisticato, usando diverse tecniche di evasione per sfuggire ai rilevamenti delle soluzioni di cybersicurezza. La backdoor, scritta in GO, è capace di leggere le configurazioni di file embedded o locali, può comunicare con un server di comando e controllo attraverso protocollo Https e permette agli attaccanti di svolgere da remoto azioni di vario tipo (modificare configurazioni, caricare e scaricare file, eseguire codice arbitrario).

 

Le scoperte di Microsoft: GoldMax, Sibot e GoldFinder

I ricercatori di Microsoft hanno invece scoperto tre malware,  GoldMax, Sibot e GoldFinder, usati per realizzare attacchi fra agosto e settembre del 2020 ai danni delle aziende clienti di Solarwinds. Più precisamente, sarebbero stati usati come attacco di secondo livello su sistemi già precedentemente compromessi. 

 

GoldMax è un malware scritto in GO, utilizzato come backdoor di comando e controllo per nascondere attività malevole e sfuggire ai rilevamenti. Può funzionare anche come generatore di traffico, per nascondere il traffico malevolo all'interno di un flusso di dati apparentemente normale. Si basa su GO anche GoldFinder, malare che probabilmente ha sfruttato uno strumento di tracciamento Http per trovare server e apparati di rete interposte fra i dispositivi infatti e i server C2. Sibot, invece, è basato su VBScript e può essere usato per scaricare payload di malware addizionali attraverso uno script di secondo livello.

 

Le mosse di Joe Biden

All'indomani della scoperta del bug di Solarwinds, i primi sospetti si erano indirizzati su CozyBear, un gruppo di hacker al soldo del governo russo, attivo da anni e ben noto nell'ambiente dei ricercatori di sicurezza. Ora, secondo le indiscrezioni del New York Times, la Casa Bianca starebbe valutando l'imposizione di alcune sanzioni economiche contro la Russia, che potrebbero entrare in vigore nelle prossime settimane. Joe Biden, inoltre, potrebbe emettere un ordine esecutivo finalizzato a velocizzare l'adozione di soluzioni di cybersicurezza da parte delle agenzie governative statunitensi. 

 

ARTICOLI CORRELATI