GoldFinder Malware

GoldFinder er en ny malware-stamme, der blev opdaget af cybersikkerhedsforskerne på Microfost. Det er et højt specialiseret specialbygget værktøj, der blev observeret som en del af aktiviteterne i Nobelium (UNC2542) ATP-gruppen. GoldFinder's hovedopgave er at snuse sig inde i den kompromitterede organisations netværk og derefter informere hackerne om eventuelle svage punkter i deres opsætning, eller om deres handlinger logges.

 GoldFinder er skrevet i Golang og kan beskrives som et HTTP-sporingsværktøj. Efter udførelsen på det kompromitterede system vil malware-truslen logge hele ruten og hvert hop, som en pakke tager på vej til den hardkodede adresse på Command-and-Control (C2, C&C) serveren. I praksis betyder dette, at malware kortlægger alle HTTP-proxyservere eller andre omdirigeringer, der potentielt kan repræsentere netværkssikkerhedsenheder, både inden for og uden for netværket.

 GoldFinder kunne bruges til at signalere Nobelium- hackerne, hvis deres kommunikation med andre malware-trusler, såsom GoldMax / Sunshuttle-bagdøren, på det brudte system er blevet opfanget.

Den tidligere ukendte Nobelium APT sprang i berømmelse sidste år, da de udførte et massivt forsyningskædeangreb mod SolarWinds. Under den truende operation antages ca. 18.000 SolarWinds-kunder at være påvirket.