A Microsoft continua sua análise e trabalho com parceiros e clientes para reunir mais informações sobre o ator da ameaça por trás da ação da cadeia de suprimentos da Solarwinds que comprometeu a SolarWinds e impactou várias outras organizações.
Acredita-se que mais de 18.000 clientes , incluindo agências governamentais dos Estados Unidos, tenham sido afetados por este ataque massivo. Como resultado, a Microsoft identificou três novas peças de malware sendo usadas na atividade de estágio final por NOBELIUM - o ator por trás dos ataques SolarWinds, SUNBURST e TEARDROP, que são:
GoldMax
Sibot
GoldFinder
GoldMax
Esse malware GoldMax foi identificado como aderindo às redes como uma tarefa agendada que representa um software de gerenciamento de sistemas.
A tarefa agendada recebeu o nome do software existente no ambiente. Ele apontou para uma subpasta em ProgramData com o nome desse software, com um nome executável semelhante. O executável, no entanto, era o implante GoldMax.
O malware grava um arquivo de configuração criptografado no disco, enquanto os dados de configuração são criptografados usando o algoritmo de criptografia AES-256, modo de criptografia CFB e a seguinte chave de criptografia: “ 4naehrkz5alao2jd035zjh3j1v1dvyyc ” (a chave varia nas diferentes versões do GoldMax).
Os dados de configuração criptografados AES são codificados em Base64 usando o alfabeto Base64 customizado “ ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789-_ ” antes de serem armazenados no arquivo de configuração no sistema de arquivos.
Quando executado, o GoldMax decodifica (Base64) e descriptografa (AES-256) os dados de configuração para revelar uma estrutura de dados personalizada composta pelos seguintes valores gerados dinamicamente e codificados (delimitados por '|')
Sibot
Sibot é um malware bidirecional implementado em VBScript. Ele é projetado para obter persistência na máquina infectada. Ele baixa e executa uma carga útil de um servidor C2 remoto.
O arquivo VBScript recebe um nome que representa tarefas legítimas do Windows e é armazenado no registro do sistema comprometido ou em um formato ofuscado no disco. O VBScript é então executado por meio de uma tarefa agendada.
Existem três variantes de Sibot:
A variante A instala apenas o script de segundo estágio no valor de registro padrão sob a chave de registro HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ sibot .
A variante B registra uma tarefa agendada chamada Sibot e programada para ser executada diariamente. Esta tarefa, C: \ Windows \ System32 \ Tasks \ Microsoft \ Windows \ WindowsUpdate \ sibot , executa a seguinte linha de comando diariamente:
A variante C é uma versão autônoma do script de segundo estágio. O script de segundo estágio da Variante A foi projetado para ser executado a partir do registro, esta variante foi projetada para ser executado a partir de um arquivo.
GoldFinder
GoldFinder é uma ferramenta rastreadora de HTTP personalizada que registra a rota ou os saltos que um pacote faz para chegar a um servidor C2 codificado.
Quando iniciado, o malware envia uma solicitação HTTP para um endereço IP codificado e registra a resposta HTTP em um arquivo de log de texto simples.
O GoldFinder usa os seguintes rótulos codificados para armazenar as informações de solicitação e resposta no arquivo de log:
Alvo: o URL C2
StatusCode: resposta HTTP / código de status
Cabeçalhos: cabeçalhos de resposta HTTP e seus valores
Dados: dados da resposta HTTP recebida do C2
