GoldMax Malware

I ricercatori di Infosec di Microsoft e la società di sicurezza informatica FireEye continuano a monitorare le attività del collettivo di hacker responsabile del massiccio attacco alla catena di approvvigionamento contro SolarWinds avvenuto lo scorso anno. I continui sforzi hanno permesso alle due società di scoprire diversi strumenti minacciosi recentemente implementati dal gruppo. Uno di questi è GoldMax (Sunshuttle), una minaccia backdoor di secondo stadio.

Microsoft inizialmente ha dato all'attore della minaccia il nome Solarigate, ma da allora lo ha cambiato in Nobelium. FireEye ha designato il gruppo di hacker con UNC2542. Il gruppo ATP (Advanced Persistence Threat) era riuscito a colpire 18.000 clienti SolarWinds attraverso la minacciosa campagna. I criminali informatici non stanno rallentando e hanno rivelato una serie di aggiunte di malware personalizzate al loro arsenale.

Finora, il vettore di violazione iniziale utilizzato per fornire la backdoor GoldMax non è stato determinato. I ricercatori, tuttavia, sono stati in grado di scoprire la funzione più importante della minaccia che la distingue da malware simile: GoldMax / Sunshuttle impiega una nuova tecnica di rilevamento-evasione che lo aiuta a fondere meglio il suo traffico anormale con quello normalmente generato dal compromesso organizzazione. La minaccia può selezionare i referrer da un elenco di siti Web legittimi che includono Google.com, Facebook.com, Bing.com e Yahoo.com.

La prima azione di GoldMax / Sunshuttle dopo essere stata eseguita consiste nell'enumerare l'indirizzo MAC della destinazione e confrontarlo con un valore specifico dell'indirizzo MAC hardcoded. Se si verifica una corrispondenza, la minaccia interromperà la sua attività. In caso contrario, procede all'estrazione delle impostazioni di configurazione del sistema infetto. Il passaggio successivo consiste nel richiedere e quindi ricevere una chiave di sessione dai server Command-and-Control (C2, C&C). I ricercatori ipotizzano che la chiave di sessione sia molto probabilmente utilizzata per crittografare determinati contenuti.

Quando è completamente stabilito, è possibile indicare a GoldMax / Sunshuttle di aggiornare in remoto la propria configurazione o di essere utilizzati dagli aggressori per recuperare o estrarre file ed eseguire comandi arbitrari.