L'hack a microsoft continua indisturbato
Buongiorno cari lettori, oggi parleremo di dei 3 nuovi malware risalenti a solarwinds.
Microsoft e la società di sicurezza informatica FireEye hanno identificato tre nuovi malware utilizzati dagli hacker di SolarWinds nell'attacco dello scorso anno a un'infrastruttura informatica privata e governativa altamente critica negli Stati Uniti.
Secondo l' ultima analisi di FireEye e Microsoft , l'hack di SolarWinds era molto più sinistro di quanto inizialmente sembrava.
Secondo quanto riferito, le società hanno scoperto altri tre ceppi di malware collegati al presunto attore della minaccia russo precedentemente segnalato come Solarigate e ora ribattezzato Nobelium da Microsoft e UNC2542 da FireEye.
Gli aggressori hanno violato il software Orion di SolarWinds e, utilizzando il suo aggiornamento, hanno lanciato attacchi mirati contro agenzie federali e molte organizzazioni di alto profilo.
Sunshuttle, GoldFinder e Sibot malware
Uno dei tre ceppi è stato identificato da FireEye, che lo ha soprannominato Sunshuttle. Gli altri due furono scoperti da Microsoft e furono chiamati GoldFinder e Sibot, mentre si riferiva a Sunshuttle di FireEye come GoldMax.
GoldMax o Sunshuttle sono backdoor, mentre Sibot è un malware a doppio scopo e anche GoldFinder è malware.
Tuttavia, le due aziende hanno scoperto i ceppi di malware in intervalli di tempo sovrapposti. Microsoft ha identificato ceppi attivi tra agosto e settembre, ma la società ritiene che i sistemi siano stati compromessi già a giugno 2020.
FireEye afferma che Sunshuttle è stato caricato su un repository pubblico di malware nell'agosto dello scorso anno.
SolarWinds hackera un'opera di attori sofisticati
Secondo Microsoft, i ceppi sono collegati a strumenti di hacking di SolarWinds precedentemente scoperti chiamati Sunburst e Teardrop . I nuovi ceppi di malware mostrano ceppi che rafforzano ulteriormente l'ipotesi che l'hack di SolarWinds sia stato l'atto di attori altamente sofisticati.
Gli attori della minaccia hanno utilizzato i ceppi per mantenere la persistenza ed eseguire azioni specifiche sulle reti mirate dopo averle compromesse. Questi ceppi mostrano tecniche di evasione del rilevamento eccezionalmente sofisticate e furtività.
"Sono fatti su misura per reti specifiche e vengono valutati per essere introdotti dopo che l'attore ha ottenuto l'accesso tramite credenziali compromesse o il binario SolarWinds e dopo essersi spostato lateralmente con TEARDROP e altre azioni manuali", hanno spiegato i ricercatori Microsoft.
D'altra parte, FireEye non ha potuto confermare il collegamento di Sunshuttle con gli hacker di SolarWinds poiché è stato scoperto nella rete di una delle vittime degli hacker di SolarWindows. Tuttavia, la società ritiene anche che Sunshuttle sia una "backdoor di secondo stadio" molto sofisticata, con discrete capacità di elusione del rilevamento.
