Licences multi-appareils (remises sur volume)

Changer de région

English Dansk Deutsch Español Français Italiano Nederlands Português Русский
Threat Database Malware Logiciel malveillant GoldMax

Logiciel malveillant GoldMax

Par GoldSparrow en Malware
Se traduisent par :
Français

Les chercheurs d'Infosec de Microsoft et de la société de cybersécurité FireEye continuent de surveiller les activités du collectif de hackers qui était responsable de l'attaque massive de la chaîne d'approvisionnement contre SolarWinds qui a eu lieu l'année dernière. Les efforts continus ont permis aux deux sociétés de découvrir plusieurs outils de menace nouvellement déployés par le groupe. L'un des est GoldMax (Sunshuttle) - une menace de porte dérobée de deuxième étape.

Microsoft a initialement donné le nom de Solarigate à l'acteur menaçant, mais l'a depuis changé en Nobelium. FireEye a désigné le groupe de hackers avec UNC2542. Le groupe ATP (Advanced Persistence Threat) avait réussi à toucher 18 000 clients SolarWinds à travers la campagne menaçante. Les cybercriminels ne ralentissent pas et ont révélé une multitude d'ajouts de logiciels malveillants personnalisés à leur arsenal.

Jusqu'à présent, le vecteur de violation initial utilisé pour fournir la porte dérobée GoldMax n'a pas été déterminé. Les chercheurs, cependant, ont pu découvrir la fonction la plus importante de la menace qui la distingue des logiciels malveillants similaires - GoldMax / Sunshuttle utilise une nouvelle technique de détection-évasion qui l'aide à mieux mélanger son trafic anormal avec celui normalement généré par le compromis. organisation. La menace peut sélectionner des référents dans une liste de sites Web légitimes qui incluent Google.com, Facebook.com, Bing.com et Yahoo.com.

La première action de GoldMax / Sunshuttle après son exécution est d'énumérer l'adresse MAC de la cible et de la comparer à une valeur d'adresse MAC codée en dur spécifique. Si une correspondance se produit, la menace mettra fin à son activité. Sinon, il procède à l'extraction des paramètres de configuration du système infecté. L'étape suivante consiste à demander puis à recevoir une clé de session des serveurs de commande et de contrôle (C2, C&C). Les chercheurs pensent que la clé de session est très probablement utilisée pour chiffrer certains contenus.

Une fois pleinement établi, GoldMax / Sunshuttle peut être invité à mettre à jour sa configuration à distance ou à être utilisé par les attaquants pour récupérer ou exfiltrer des fichiers et exécuter des commandes arbitraires.

Tendance

Le plus regardé

Chargement...