Licenser til flere enheder (volumenrabatter)

Skift region

English Dansk Deutsch Español Français Italiano Nederlands Português Русский
Threat Database Malware GoldMax Malware

GoldMax Malware

Med GoldSparrow i Malware
Oversæt til:
Dansk

Infosec-forskere fra Microsoft og cybersikkerhedsfirmaet FireEye fortsætter med at overvåge aktiviteterne i hakkollektivet, der var ansvarlig for det massive forsyningskædeangreb mod SolarWinds, der fandt sted sidste år. Den fortsatte indsats har gjort det muligt for de to virksomheder at opdage flere nyudnyttede truende værktøjer fra gruppen. En af dem er GoldMax (Sunshuttle) - en anden etape bagdørstrussel.

Microsoft gav oprindeligt trusselsskuespilleren navnet Solarigate, men har siden ændret det til Nobelium. FireEye udpegede hackergruppen med UNC2542. ATP-gruppen (Advanced Persistence Threat) havde formået at påvirke 18.000 SolarWinds-kunder gennem den truende kampagne. Cyberkriminelle bremser ikke ned og har afsløret en række specialbyggede malware-tilføjelser til deres arsenal.

Indtil videre er den oprindelige brudvektor, der bruges til at levere GoldMax bagdøren, ikke blevet bestemt. Forskerne var imidlertid i stand til at afdække den vigtigste funktion af truslen, der adskiller den fra lignende malware - GoldMax / Sunshuttle anvender en ny afsløringsteknik, der hjælper det med bedre at blande sin unormale trafik med den, der normalt genereres af den kompromitterede. organisation. Truslen kan vælge henvisere fra en liste over legitime websteder, der inkluderer Google.com, Facebook.com, Bing.com og Yahoo.com.

Den første handling af GoldMax / Sunshuttle efter at være udført er at tælle målets MAC-adresse og sammenligne den med en bestemt hårdkodet MAC-adresseværdi. Hvis der opstår en kamp, vil truslen afslutte dens aktivitet. Ellers fortsætter det med at udpakke konfigurationsindstillingerne for det inficerede system. Det næste trin er at anmode om og derefter modtage en sessionsnøgle fra Command-and-Control (C2, C&C) serverne. Forskere spekulerer i, at sessionsnøglen sandsynligvis bruges til at kryptere bestemt indhold.

Når den er fuldt etableret, kan GoldMax / Sunshuttle blive bedt om at opdatere sin konfiguration eksternt eller bruges af angriberne til at hente eller exfiltrere filer og udføre vilkårlige kommandoer.

Trending

Mest sete

Indlæser...