Malware GoldMax

Os pesquisadores de Infosec da Microsoft e da empresa de segurança cibernética FireEye continuam monitorando as atividades do coletivo de hackers que foi responsável pelo ataque massivo à cadeia de suprimentos contra a SolarWinds ocorrido no ano passado. Os esforços contínuos permitiram que as duas empresas descobrissem várias ferramentas ameaçadoras recentemente implantadas pelo grupo. Uma delas éo GoldMax (Sunshuttle) - uma ameaça de backdoor de segundo estágio.

A Microsoft inicialmente deu ao autor de ameaças o nome Solarigate, mas desde então o mudou para Nobelium. A FireEye designou o grupo de hackers com UNC2542. O grupo ATP (Advanced Persistence Threat ou Ameaça Persistente Avançada) conseguiu afetar 18.000 clientes da SolarWinds durante a campanha ameaçadora. Os cibercriminosos não estão diminuindo a velocidade e revelaram uma série de adições de malware personalizadas ao seu arsenal.

Até agora, o vetor de violação inicial usado para entregar o backdoor GoldMax não foi determinado. Os pesquisadores, no entanto, foram capazes de descobrir a função mais importante da ameaça que a distingue de malware semelhante - GoldMax/Sunshuttle emprega uma nova técnica de evasão de detecção que o ajuda a combinar melhor seu tráfego anormal com aquele normalmente gerado pelo comprometido organização. A ameaça pode selecionar referenciadores em uma lista de sites legítimos que incluem Google.com, Facebook.com, Bing.com e o Yahoo.com.

A primeira ação do GoldMax/Sunshuttle após ser executado é enumerar o endereço MAC do alvo e compará-lo a um valor de endereço MAC específico codificado. Se ocorrer uma correspondência, a ameaça encerrará sua atividade. Caso contrário, ele continuará a extrair as definições de configuração do sistema infectado. A próxima etapa é solicitar e receber uma chave de sessão dos servidores Command-and-Control (C2, C&C). Os pesquisadores especulam que a chave de sessão é provavelmente usada para criptografar determinado conteúdo.

Quando totalmente estabelecido, o GoldMax/Sunshuttle pode ser instruído a atualizar remotamente sua configuração ou ser usado pelos invasores para buscar ou exfiltrar arquivos e executar comandos arbitrários.