GoldMax Malware
Infosec-onderzoekers van Microsoft en het cyberbeveiligingsbedrijf FireEye blijven de activiteiten volgen van het hackercollectief dat verantwoordelijk was voor de massale supply chain-aanval op SolarWinds die vorig jaar plaatsvond. Door de voortdurende inspanningen hebben de twee bedrijven verschillende nieuwe bedreigende instrumenten van de groep ontdekt. Een daarvan is GoldMax (Sunshuttle) - een tweede trap van de achterdeur.
Microsoft gaf de dreigingsacteur aanvankelijk de naam Solarigate, maar heeft deze sindsdien veranderd in Nobelium. FireEye noemde de hackergroep UNC2542. De ATP-groep (Advanced Persistence Threat) had met de dreigingscampagne 18.000 klanten van SolarWinds geraakt. De cybercriminelen vertragen niet en hebben een hele reeks op maat gemaakte malwaretoevoegingen aan hun arsenaal onthuld.
Tot dusverre is de aanvankelijke doorbraakvector die werd gebruikt om de GoldMax-achterdeur te leveren, niet vastgesteld. De onderzoekers waren echter in staat om de belangrijkste functie van de dreiging bloot te leggen die het onderscheidt van vergelijkbare malware - GoldMax / Sunshuttle gebruikt een nieuwe detectie-ontwijkingstechniek die het helpt om zijn abnormale verkeer beter te combineren met het verkeer dat normaal wordt gegenereerd door de gecompromitteerde organisatie. De dreiging kan verwijzers selecteren uit een lijst met legitieme websites, waaronder Google.com, Facebook.com, Bing.com en Yahoo.com.
De eerste actie van GoldMax / Sunshuttle nadat deze is uitgevoerd, is om het MAC-adres van het doel op te sommen en dit te vergelijken met een specifieke hard gecodeerde MAC-adreswaarde. Als er een match optreedt, zal de dreiging zijn activiteit beëindigen. Anders gaat het verder met het extraheren van de configuratie-instellingen van het geïnfecteerde systeem. De volgende stap is het aanvragen en ontvangen van een sessiesleutel van de Command-and-Control (C2, C&C) servers. Onderzoekers speculeren dat de sessiesleutel hoogstwaarschijnlijk wordt gebruikt om bepaalde inhoud te versleutelen.
Wanneer het volledig is ingesteld, kan GoldMax / Sunshuttle worden verteld om de configuratie op afstand bij te werken of door de aanvallers worden gebruikt om bestanden op te halen of te exfiltreren en willekeurige opdrachten uit te voeren.
