Microsoft Reveals 3 New Malware Variants Relating to SolarWinds Cyberattack
كشفت Microsoft عن ثلاثة متغيرات برمجية ضارة malware تم العثور عليها حديثًا تتعلق بالهجوم الإلكتروني لـ SolarWinds. في الوقت نفسه، منحت أيضًا ممثل التهديد وراء SolarWinds اسم تتبع محددًا: Nobelium.
توفر المعلومات التي تم الكشف عنها حديثًا مزيدًا من التبصر في الهجوم السيبراني الهائل الذي ادعى وجود العديد من الوكالات الحكومية الأمريكية في قائمة الضحايا.
تكشف Microsoft عن متغيرات متعددة للبرامج الضارة
في منشور حديث إلى مدونة Microsoft Security الرسمية، كشفت الشركة عن اكتشاف ثلاثة أنواع إضافية من البرامج الضارة المتعلقة بالهجوم الإلكتروني لـ SolarWinds: GoldMax و Sibot و GoldFinder.
توفر المعلومات التي تم الكشف عنها حديثًا مزيدًا من التبصر في الهجوم السيبراني الهائل الذي ادعى وجود العديد من الوكالات الحكومية الأمريكية في قائمة الضحايا.
تكشف Microsoft عن متغيرات متعددة للبرامج الضارة
في منشور حديث إلى مدونة Microsoft Security الرسمية، كشفت الشركة عن اكتشاف ثلاثة أنواع إضافية من البرامج الضارة المتعلقة بالهجوم الإلكتروني لـ SolarWinds: GoldMax و Sibot و GoldFinder.
تقدر Microsoft أن البرامج الضارة التي ظهرت حديثًا قد استخدمها الممثل للحفاظ على المثابرة وتنفيذ الإجراءات على شبكات محددة جدًا وموجهة بعد الاختراق ، بل وحتى تجنب الاكتشاف الأولي أثناء الاستجابة للحوادث.
تم استخدام متغيرات البرامج الضارة الجديدة في المراحل الأخيرة من هجوم SolarWinds. وفقًا لفريق أمان Microsoft، تم العثور على أدوات الهجوم الجديدة وأنواع البرامج الضارة قيد الاستخدام بين أغسطس وسبتمبر 2020، ولكن ربما كانت "على الأنظمة المخترقة في وقت مبكر من يونيو 2020".
علاوة على ذلك، تعد هذه الأنواع الجديدة تمامًا من البرامج الضارة "فريدة بالنسبة إلى هذا الممثل" و "مصممة خصيصًا لشبكات معينة"، بينما يتمتع كل متغير بإمكانيات مختلفة.
GoldMax: مكتوب في Go ويعمل كباب خلفي للأوامر والتحكم يخفي الأنشطة الضارة على الكمبيوتر الهدف. كما وجد في هجوم SolarWinds، يمكن لـ GoldMax إنشاء حركة مرور شبكة خادعة لإخفاء حركة مرور الشبكة الضارة، مما يمنحها مظهر حركة المرور العادية.
Sibot: هو برنامج ضار ثنائي الغرض قائم على VBScript يحافظ على وجود مستمر على الشبكة المستهدفة وتنزيل حمولة ضارة وتنفيذها. تلاحظ Microsoft أن هناك ثلاثة أنواع من البرامج الضارة Sibot، وكلها لها وظائف مختلفة قليلاً.
GoldFinder: تمت كتابة هذا البرنامج الضار أيضًا في Go. تعتقد Microsoft أنه تم "استخدامه كأداة تتبع HTTP مخصصة" لتسجيل عناوين الخادم والبنية التحتية الأخرى المشاركة في الهجوم الإلكتروني.
هناك المزيد ليأتي من SolarWinds
على الرغم من أن Microsoft تعتقد أن مرحلة هجوم SolarWinds قد انتهت على الأرجح، إلا أن المزيد من متغيرات البنية التحتية الأساسية والبرامج الضارة المتضمنة في الهجوم لا تزال تنتظر الاكتشاف.
مع النمط الثابت لهذا الفاعل لاستخدام بنية تحتية وأدوات فريدة لكل هدف ، والقيمة التشغيلية للحفاظ على استمرارها على الشبكات المعرضة للخطر ، فمن المحتمل أن يتم اكتشاف مكونات إضافية مع استمرار تحقيقنا في تصرفات هذا الفاعل.
إن الكشف عن المزيد من أنواع البرامج الضارة والمزيد من البنية التحتية التي لم يتم العثور عليها حتى الآن لن يكون مفاجئًا لأولئك الذين يتتبعون هذه الملحمة المستمرة. كشفت Microsoft مؤخرًا عن المرحلة الثانية من SolarWinds، والتي توضح بالتفصيل كيفية وصول المهاجمين إلى الشبكات والحفاظ على وجودهم لفترة طويلة لم يتم اكتشافها.
