【安全资讯】研究人员在SolarWinds事件中发现三个新的恶意软件家族
微软和FireEye在周四发现了三种新的恶意软件,这些恶意软件被SolarWinds攻击事件背后的威胁组织所使用。该恶意软件包括:
一个后门程序,微软将其称为GoldMax,FireEye将其称为Sunshuttle。
微软发现的一种名为Sibot的两用恶意软件;
微软发现了一种名为GoldFinder的恶意软件。
GoldMax/Sunshuttle恶意软件
Sunshuttle是一种由Go语言编写的复杂后门,该后门具有将C2通信流量与合法网络流量融合的功能,展示了简单而优雅的检测规避技术。
Sunshuttle从C2中检索到会话密钥后,会发出一个信标以检索命令,然后解析响应内容以确定应运行哪个命令。来自C2的命令包括远程更新其配置,上载和下载文件以及任意命令执行。
FireEye研究人员表示,该恶意软件的感染媒介尚不清楚,并且可能是在系统受到最初危害后通过第二阶段后门分发的。一家美国实体在去年8月将该后门上传到公共恶意软件存储库。
Sibot恶意软件
微软研究人员发现了一个名为Sibot的恶意软件家族,Sibot是在VBScript中实现的两用恶意软件,旨在受感染的计算机上实现持久性,然后从远程C2服务器下载并执行有效负载。
研究人员观察到此恶意软件的三种变体,这些变体都存在一定的混淆。
GoldFinder恶意软件
微软的研究人员发现一种由Golang编写的名为GoldFinder的新工具。GoldFinder很可能用作“自定义HTTP跟踪器工具,用于记录数据包到达硬编码C2服务器所需的路由或节点。”
GoldFinder启动后,可以识别所有HTTP代理服务器和其他重定向器,例如HTTP请求在网络内部和外部通过网络到达目标C2服务器的网络安全设备。
失陷指标(IOC)14
这么重要的IOC情报,赶紧
登录
来看看吧~
相关链接
https://www.fireeye.com/blog/threat-research/2021/03/sunshuttle-second-stage-backdoor-targeting-us-based-entity.htmlhttps://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/https://threatpost.com/microsoft-fireeye-malware-solarwinds/164512/
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享