マイクロソフトは、SolarWinds社のサイバー攻撃に関連して、新たに発見された3種類のマルウェア亜種を明らかにしました。また、SolarWindsの背後にいる脅威メーカーに、Nobeliumという具体的な追跡名を与えています。

今回明らかになったことは、米国**の複数の機関が被害者としてリストアップされた大規模なサイバー攻撃について、より深い洞察を与えるものです。

マイクロソフト、複数のマルウェアの亜種を公開

マイクロソフトの公式セキュリティブログに最近投稿された記事では、SolarWinds社のサイバー攻撃に関連する他の3種類のマルウェア（GoldMax、Sibot、GoldFinder）が発見されたことが明らかにされています。

マイクロソフトは、新たに発見されたマルウェアは、侵入後、特定のターゲットとなるネットワーク上で持続的に動作するために使用され、インシデント対応時の初期検出を回避することさえできたと評価しています。

SolarWinds社による攻撃の後半では、新たなマルウェアの亜種が使用されました。マイクロソフトのセキュリティチームによると、新しい攻撃ツールとマルウェアの種類は、2020年8月から9月の間に使用されていることが判明しましたが、"2020年6月の時点で "侵害されたシステムにあった可能性があります。

また、これらの新しいタイプのマルウェアは、「この参加者だけのもの」「特定のネットワークに合わせたもの」であり、それぞれの亜種は異なる機能を持っています。

• GoldMax:GoldMaxはGoで書かれており、ターゲットコンピューター上で悪意のある活動を隠すためのコマンド＆コントロールバックドアとして機能します。SolarWinds社の攻撃で発見されたように、GoldMaxはデコイネットワークトラフィックを生成して、悪意のあるネットワークトラフィックを偽装し、通常のトラフィックのように見せかけることが可能です。
• Sibot:Sibotは、ターゲットネットワーク上で永続的な存在を維持し、悪意のあるロードをダウンロードして実行する、VBScriptベースのデュアルパーパスマルウェアです。マイクロソフトは、Sibotマルウェアには3つの亜種があり、いずれも機能が若干異なっていると指摘しています。
• GoldFinder：このマルウェアもGoで書かれています。マイクロソフトは、サイバー攻撃に関与したサーバーアドレスやその他のインフラを記録するための「カスタムHTTPトラッキングツールとして使用された」と考えています。

関連記事：マイクロソフト、サンウィンド社のサイバー攻撃の実際の標的を公開

他にもたくさんの太陽風があります

マイクロソフトは、SolarWindsの攻撃段階は終わったかもしれないと考えていますが、攻撃に関与したさらなる基礎インフラやマルウェアの亜種が発見されるのを待っている状態です。

この脅威者は、ターゲットごとに独自のインフラとツールを使用するパターンを確立しており、侵害されたネットワーク上で持続性を維持することが作戦上重要であることから、この脅威者の行為に関する調査を継続する中で、さらなるコンポーネントが発見される可能性が高いと思われます。

まだ発見されていないマルウェアの種類やインフラがある中、今回の情報開示は、この出来事を追跡している人々にとって驚くことではありません。最近、マイクロソフトはSolarWindsの第2段階を明らかにし、攻撃者がどのようにネットワークにアクセスし、検知されずに長期間存在を維持したかを詳細に説明しました。