Logiciel malveillant GoldFinder

GoldFinder est une nouvelle souche de malware découverte par les chercheurs en cybersécurité de Microfost. C'est un outil de construction sur mesure hautement spécialisé qui a été observé dans le cadre des activités du groupe ATP Nobelium (UNC2542). La tâche principale de GoldFinder est de fouiner à l'intérieur du réseau de l'organisation compromise, puis d'informer les pirates de tout point faible dans leur configuration ou si leurs actions sont enregistrées.

 GoldFinder est écrit en Golang et peut être décrit comme un outil de traçage HTTP. Lors de son exécution sur le système compromis, la menace du logiciel malveillant enregistrera la totalité de la route et chaque saut qu'un paquet prend sur son chemin vers l'adresse codée en dur du serveur Command-and-Control (C2, C&C). En pratique, cela signifie que le malware mappera tous les serveurs proxy HTTP ou toute autre redirection qui pourrait potentiellement représenter des dispositifs de sécurité réseau, à la fois à l'intérieur et à l'extérieur du réseau.

 GoldFinder pourrait être utilisé pour signaler aux pirates Nobelium si leur communication avec d'autres menaces de logiciels malveillants, telles que la porte dérobée GoldMax / Sunshuttle, sur le système piraté a été interceptée.

Le Nobelium APT, jusque-là inconnu, a pris de l'importance l'année dernière en exécutant une attaque massive de la chaîne d'approvisionnement contre SolarWinds. Au cours de l'opération menaçante, environ 18 000 clients de SolarWinds auraient été touchés.