Phần mềm độc hại mới được sử dụng bởi những kẻ tấn công SolarWinds đã không bị phát hiện trong nhiều năm

Tác nhân đe dọa đằng sau thỏa hiệp chuỗi cung ứng của SolarWinds đã tiếp tục mở rộng kho vũ khí độc hại của mình với các công cụ và kỹ thuật mới đã được triển khai trong các cuộc tấn công vào đầu năm 2019, một khi cho thấy bản chất khó nắm bắt của các chiến dịch và khả năng duy trì quyền truy cập liên tục của đối thủ đối với nhiều năm.

Theo công ty an ninh mạng CrowdStrike, nơi trình bày chi tiết các chiến thuật mới được áp dụng vào tuần trước, hai họ phần mềm độc hại tinh vi đã được đặt trên hệ thống nạn nhân – một biến thể Linux của GoldMax và một thiết bị cấy ghép mới có tên là TrailBlazer – rất lâu trước khi quy mô của các cuộc tấn công xảy ra. ra ánh sáng.

Nobelium, biệt danh do Microsoft gán cho vụ xâm nhập SolarWinds vào tháng 12 năm 2020, cũng được theo dõi bởi cộng đồng an ninh mạng rộng lớn hơn với các tên UNC2452 (FireEye), SolarStorm (Unit 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) và Iron Nghi thức (Secureworks).

Các hoạt động độc hại kể từ đó được cho là do một diễn viên được nhà nước Nga tài trợ có tên APT29 (còn được gọi là The Dukes và Cozy Bear), một hoạt động gián điệp mạng liên kết với Cục Tình báo nước ngoài của nước này ít nhất từ ​​năm 2008.

Xem tiếp:   Chuyến đi đến địa điểm đen tối - Đã phân tích các trang web rò rỉ

GoldMax (hay còn gọi là SUNSHUTTLE), được phát hiện bởi Microsoft và FireEye vào tháng 3 năm 2021, là một phần mềm độc hại dựa trên Golang hoạt động như một cửa hậu điều khiển và ra lệnh, thiết lập kết nối an toàn với máy chủ từ xa để thực hiện các lệnh tùy ý trên máy bị xâm phạm .

Vào tháng 9 năm 2021, Kaspersky tiết lộ chi tiết về biến thể thứ hai của cửa hậu GoldMax có tên Tomiris đã được triển khai chống lại một số tổ chức chính phủ ở một quốc gia thành viên CIS chưa được đặt tên vào tháng 12 năm 2020 và tháng 1 năm 2021.

Lần lặp lại mới nhất là một triển khai Linux không có tài liệu trước đây nhưng giống hệt về chức năng của phần mềm độc hại giai đoạn hai đã được cài đặt trong môi trường nạn nhân vào giữa năm 2019, có trước tất cả các mẫu đã xác định khác được xây dựng cho nền tảng Windows cho đến nay.

Cũng được phân phối trong cùng khung thời gian là TrailBlazer, một cửa sau mô-đun cung cấp cho những kẻ tấn công một con đường dẫn đến gián điệp mạng, đồng thời chia sẻ những điểm chung với GoldMax theo cách nó giả mạo lưu lượng truy cập lệnh và kiểm soát (C2) dưới dạng các yêu cầu HTTP hợp pháp của Google Notifications.

Các kênh không phổ biến khác được tác nhân sử dụng để tạo điều kiện cho các cuộc tấn công bao gồm:

Xem tiếp:   Trình tải JavaScript tàng hình mới này lây nhiễm phần mềm độc hại cho máy tính

Chức năng nhảy thông tin xác thực để che khuất chuyển động ngang của Dịch vụ chính và ứng dụng Office 365 (O365) chiếm quyền điều khiển, mạo danh và thao túng cũng như Trộm cắp cookie của trình duyệt để bỏ qua xác thực đa yếu tố

Ngoài ra, các nhà khai thác đã thực hiện nhiều trường hợp trộm cắp thông tin tên miền cách nhau vài tháng, mỗi lần sử dụng một kỹ thuật khác nhau, một trong số đó là việc sử dụng trình đánh cắp mật khẩu Mimikatz trong bộ nhớ, từ một máy chủ đã bị xâm nhập để đảm bảo truy cập trong thời gian dài.

“Chiến dịch StellarParticle, được liên kết với nhóm đối thủ Cozy Bear, thể hiện kiến ​​thức sâu rộng của kẻ đe dọa này về hệ điều hành Windows và Linux, Microsoft Azure, O365 và Active Directory, cũng như sự kiên nhẫn và bộ kỹ năng bí mật của họ để không bị phát hiện trong nhiều tháng – và trong một số trường hợp, nhiều năm, “các nhà nghiên cứu cho biết.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / tấn công mạng Hơn một …