GoldFinder Malware

O GoldFinder é um novo tipo de malware que foi descoberto pelos pesquisadores de segurança cibernética da Microfost. É uma ferramenta customizada altamente especializada que foi observada como parte das atividades do grupo Nobelium (UNC2542) ATP. A principal tarefa do GoldFinder é espionar a rede da organização comprometida e, em seguida, informar os hackers sobre quaisquer pontos fracos em sua configuração ou se suas ações estão sendo registradas.

 O GoldFinder é escrito em Golang e pode ser descrito como uma ferramenta rastreadora de HTTP. Após sua execução no sistema comprometido, a ameaça de malware registrará toda a rota e cada salto que um pacote faz em seu caminho para o endereço codificado do servidor de Comando e Controle (C2, C&C). Na prática, isso significa que o malware mapeará todos os servidores proxy HTTP ou quaisquer outros redirecionamentos que possam representar dispositivos de segurança de rede, tanto dentro quanto fora da rede.

 O GoldFinder pode ser usado para sinalizar aos hackers do Nobelium se sua comunicação com outras ameaças de malware, tal como o backdoor do GoldMax/Sunshuttle, no sistema violado, foi interceptada.

O até então desconhecido APT Nobelium saltou para a proeminência no ano passado, quando executou um ataque maciço à cadeia de abastecimento contra a SolarWinds. Durante a operação ameaçadora, acredita-se que aproximadamente 18.000 clientes da SolarWinds foram afetados.