微软公布3个新的与solarwinds网络攻击有关的恶意软件变种

该公司认为还有更多的恶意软件有待发现。...

微软披露了三个新发现的与SolarWinds网络攻击有关的恶意软件变种。同时，它也给太阳风背后的威胁者起了一个特定的追踪名字：Nobelium。

这一最新披露的信息使人们更深入地了解了这起巨大的网络攻击，这起攻击导致多个美国**机构被列入受害者名单。

微软披露多个恶意软件变种

在微软官方安全博客最近的一篇文章中，该公司透露发现了另外三种与SolarWinds网络攻击有关的恶意软件：GoldMax、Sibot和GoldFinder。

Microsoft assesses that the newly surfaced pieces of malware were used by the actor to maintain persistence and perform acti*** on very specific and targeted networks post-compromise, even evading initial detection during incident resp***e.

新的恶意软件变种被用于SolarWinds攻击的后期阶段。据微软安全团队称，新的攻击工具和恶意软件类型被发现在2020年8月至9月期间使用，但可能“早在2020年6月就已在受损系统上”

此外，这些全新类型的恶意软件是“此参与者独有的”和“为特定网络量身定做的”，而每个变种都有不同的功能。

GoldMax:GoldMax是用Go编写的，作为命令和控制后门，隐藏目标计算机上的恶意活动。正如SolarWinds攻击所发现的那样，GoldMax可以生成诱饵网络流量来伪装其恶意网络流量，使其看起来像正常流量。
Sibot:Sibot是一个基于VBScript的双用途恶意软件，它在目标网络上保持持久存在，并下载和执行恶意负载。微软指出，Sibot恶意软件有三个变种，它们的功能都略有不同。
GoldFinder:这个恶意软件也是用Go编写的。微软认为，它“被用作一个定制的HTTP跟踪工具”，用于记录服务器地址和参与网络攻击的其他基础设施。

相关报道：微软披露太阳风网络攻击的实际目标

太阳风还有很多

尽管微软认为SolarWinds的攻击阶段可能已经结束，但更多参与攻击的底层基础设施和恶意软件变种仍在等待发现。

With this actor's established pattern of using unique infrastructure and tooling for each target, and the operational value of maintaining their persistence on compromised networks, it is likely that additional components will be discovered as our investigation into the acti*** of this threat actor continues.

更多的恶意软件类型和更多的基础设施尚未被发现，这一消息的披露对于追踪这一正在发生的事件的人来说并不意外。最近，微软披露了SolarWinds的第二阶段，详细说明了攻击者如何访问网络并在长时间未被发现的情况下保持存在。