GoldFinder Malware

GoldFinder ist eine neue Malware-Sorte, die von den Cybersicherheitsforschern von Microfost entdeckt wurde. Es handelt sich um ein hochspezialisiertes Custom-Build-Tool, das im Rahmen der Aktivitäten der ATP-Gruppe Nobelium (UNC2542) beobachtet wurde. Die Hauptaufgabe von GoldFinder besteht darin, innerhalb des Netzwerks der gefährdeten Organisation zu forschen und die Hacker dann über Schwachstellen in ihrem Setup oder über die Protokollierung ihrer Aktionen zu informieren.

GoldFinder ist in Golang geschrieben und kann als HTTP-Tracer-Tool bezeichnet werden. Bei der Ausführung auf dem gefährdeten System protokolliert die Malware-Bedrohung die gesamte Route und jeden Hop, den ein Paket auf dem Weg zur fest codierten Adresse des Command-and-Control-Servers (C2, C & C) unternimmt. In der Praxis bedeutet dies, dass die Malware alle HTTP-Proxyserver oder andere Umleitungen zuordnet, die möglicherweise Netzwerksicherheitsgeräte innerhalb und außerhalb des Netzwerks darstellen könnten.

 GoldFinder könnte verwendet werden, um den Nobelium- Hackern zu signalisieren, ob ihre Kommunikation mit anderen Malware-Bedrohungen wie der GoldMax / Sunshuttle-Hintertür auf dem beschädigten System abgefangen wurde.

Für das bisher unbekannte Nobelium APT wurde im vergangenen Jahr bekannt, als es einen massiven Supply-Chain-Angriff gegen SolarWinds durchführte. Es wird angenommen, dass während des drohenden Vorgangs ungefähr 18.000 SolarWinds-Kunden betroffen waren.