GoldMax Вредоносное ПО
Исследователи Infosec из Microsoft и компании FireEye, занимающейся кибербезопасностью, продолжают отслеживать деятельность хакерского коллектива, ответственного за массовую атаку цепочки поставок на SolarWinds, которая произошла в прошлом году. Непрерывные усилия позволили двум компаниям обнаружить несколько недавно развернутых группой угрожающих инструментов. Одна из них - GoldMax (Sunshuttle) - бэкдор-угроза второй ступени.
Microsoft изначально дала злоумышленнику имя Solarigate, но с тех пор изменила его на Nobelium . FireEye обозначил хакерскую группу UNC2542. Группе ATP (Advanced Persistence Threat) удалось повлиять на 18 000 клиентов SolarWinds с помощью кампании угроз. Киберпреступники не сбавляют обороты и раскрыли множество специально созданных вредоносных программ, пополнивших свой арсенал.
До сих пор не определен начальный вектор взлома, используемый для доставки бэкдора GoldMax. Однако исследователям удалось раскрыть наиболее важную функцию угрозы, которая отличает ее от аналогичных вредоносных программ - GoldMax / Sunshuttle использует новую технику обнаружения-уклонения, которая помогает ему лучше сочетать аномальный трафик с трафиком, обычно генерируемым скомпрометированными. организация. Угроза может выбирать источников перехода из списка законных веб-сайтов, в который входят Google.com, Facebook.com, Bing.com и Yahoo.com.
Первое действие GoldMax / Sunshuttle после выполнения - это перечислить MAC-адрес цели и сравнить его с конкретным жестко закодированным значением MAC-адреса. Если совпадение произойдет, угроза прекратит свою деятельность. В противном случае он переходит к извлечению параметров конфигурации зараженной системы. Следующим шагом является запрос, а затем получение сеансового ключа от серверов Command-and-Control (C2, C&C). Исследователи предполагают, что сеансовый ключ, скорее всего, используется для шифрования определенного контента.
После полной установки GoldMax / Sunshuttle может быть приказано удаленно обновить свою конфигурацию или использоваться злоумышленниками для получения или эксфильтрации файлов и выполнения произвольных команд.
