Wireless

[Wireless Attacks][bsummary]

WHATSAPP

[WHATSAPP][twocolumns]

SISTEMA OPERACIONAL

[SISTEMA OPERACIONAL][bleft]

CURSOS

[CURSOS][grids]

GoldMax, GoldFinder, and Sibot, são os três novos malwares usados ​​por SolarWinds Hackers

A Microsoft continua sua análise e trabalho com parceiros e clientes para reunir mais informações sobre o ator da ameaça por trás da ação da cadeia de suprimentos da Solarwinds que comprometeu a SolarWinds e impactou várias outras organizações.



Acredita-se que mais de 18.000 clientes , incluindo agências governamentais dos Estados Unidos, tenham sido afetados por este ataque massivo. Como resultado, a Microsoft identificou três novas peças de malware sendo usadas na atividade de estágio final por NOBELIUM - o ator por trás dos ataques SolarWinds, SUNBURST e TEARDROP, que são:


GoldMax

Sibot

GoldFinder

GoldMax

Esse malware GoldMax foi identificado como aderindo às redes como uma tarefa agendada que representa um software de gerenciamento de sistemas.


A tarefa agendada recebeu o nome do software existente no ambiente. Ele apontou para uma subpasta em ProgramData com o nome desse software, com um nome executável semelhante. O executável, no entanto, era o implante GoldMax.


O malware grava um arquivo de configuração criptografado no disco, enquanto os dados de configuração são criptografados usando o algoritmo de criptografia AES-256, modo de criptografia CFB e a seguinte chave de criptografia: “ 4naehrkz5alao2jd035zjh3j1v1dvyyc ” (a chave varia nas diferentes versões do GoldMax).


Os dados de configuração criptografados AES são codificados em Base64 usando o alfabeto Base64 customizado “ ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789-_ ” antes de serem armazenados no arquivo de configuração no sistema de arquivos.


Quando executado, o GoldMax decodifica (Base64) e descriptografa (AES-256) os dados de configuração para revelar uma estrutura de dados personalizada composta pelos seguintes valores gerados dinamicamente e codificados (delimitados por '|')


Sibot

Sibot é um malware bidirecional implementado em VBScript. Ele é projetado para obter persistência na máquina infectada. Ele baixa e executa uma carga útil de um servidor C2 remoto.


O arquivo VBScript recebe um nome que representa tarefas legítimas do Windows e é armazenado no registro do sistema comprometido ou em um formato ofuscado no disco. O VBScript é então executado por meio de uma tarefa agendada.


Existem três variantes de Sibot:


A variante A  instala apenas o script de segundo estágio no valor de registro padrão sob a chave de registro  HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ sibot .

 A variante B  registra uma tarefa agendada chamada Sibot e programada para ser executada diariamente. Esta tarefa, C: \ Windows \ System32 \ Tasks \ Microsoft \ Windows \ WindowsUpdate \ sibot , executa a seguinte linha de comando diariamente:

A variante C  é uma versão autônoma do script de segundo estágio. O script de segundo estágio da Variante A foi projetado para ser executado a partir do registro, esta variante foi projetada para ser executado a partir de um arquivo.


GoldFinder

GoldFinder é uma ferramenta rastreadora de HTTP personalizada que registra a rota ou os saltos que um pacote faz para chegar a um servidor C2 codificado.


Quando iniciado, o malware envia uma solicitação HTTP para um endereço IP codificado e registra a resposta HTTP em um arquivo de log de texto simples.


O GoldFinder usa os seguintes rótulos codificados para armazenar as informações de solicitação e resposta no arquivo de log:


Alvo: o URL C2

StatusCode: resposta HTTP / código de status

Cabeçalhos: cabeçalhos de resposta HTTP e seus valores

Dados: dados da resposta HTTP recebida do C2


Nenhum comentário :