Threat Database Malware Malware GoldMax

Malware GoldMax

Los investigadores de Infosec de Microsoft y la empresa de ciberseguridad FireEye continúan monitoreando las actividades del colectivo de hackers que fue responsable del ataque masivo a la cadena de suministro contra SolarWinds que tuvo lugar el año pasado. Los continuos esfuerzos han permitido a las dos empresas descubrir varias herramientas amenazantes recientemente implementadas por el grupo. Uno de ellos es GoldMax (Sunshuttle), una amenaza de puerta trasera de segunda etapa.

Microsoft inicialmente le dio al actor de amenazas el nombre de Solarigate, pero desde entonces lo ha cambiado a Nobelium. FireEye designó al grupo de hackers con UNC2542. El grupo ATP (Advanced Persistence Threat) había logrado afectar a 18.000 clientes de SolarWinds a través de la amenazante campaña. Los ciberdelincuentes no se están desacelerando y han revelado una gran cantidad de adiciones de malware personalizado a su arsenal.

Hasta ahora, no se ha determinado el vector de infracción inicial utilizado para entregar la puerta trasera GoldMax. Sin embargo, los investigadores pudieron descubrir la función más importante de la amenaza que la distingue de un malware similar: GoldMax / Sunshuttle emplea una técnica novedosa de detección y evasión que le ayuda a combinar mejor su tráfico anormal con el que normalmente genera el comprometido. organización. La amenaza puede seleccionar referencias de una lista de sitios web legítimos que incluyen Google.com, Facebook.com, Bing.com y Yahoo.com.

La primera acción de GoldMax / Sunshuttle después de ejecutarse es enumerar la dirección MAC del objetivo y compararla con un valor específico de dirección MAC codificada. Si ocurre una coincidencia, la amenaza terminará su actividad. De lo contrario, procede a extraer los ajustes de configuración del sistema infectado. El siguiente paso es solicitar y luego recibir una clave de sesión de los servidores de Comando y Control (C2, C&C). Los investigadores especulan que lo más probable es que la clave de sesión se utilice para cifrar cierto contenido.

Cuando esté completamente establecido, se le puede decir a GoldMax / Sunshuttle que actualice de forma remota su configuración o que los atacantes lo utilicen para buscar o exfiltrar archivos y ejecutar comandos arbitrarios.

Tendencias

Mas Visto

Cargando...