Threat Database Malware GoldMax Malware

GoldMax Malware

Infosec-Forscher von Microsoft und das Cybersicherheitsunternehmen FireEye überwachen weiterhin die Aktivitäten des Hacker-Kollektivs, das für den massiven Supply-Chain-Angriff gegen SolarWinds im vergangenen Jahr verantwortlich war. Die fortgesetzten Bemühungen haben es den beiden Unternehmen ermöglicht, mehrere neu eingesetzte Bedrohungsinstrumente der Gruppe zu entdecken. Eines davon ist GoldMax (Sunshuttle) - eine Backdoor-Bedrohung der zweiten Stufe.

Microsoft gab dem Bedrohungsakteur zunächst den Namen Solarigate, hat ihn jedoch inzwischen in Nobelium geändert. FireEye hat die Hacker-Gruppe mit UNC2542 bezeichnet. Die ATP-Gruppe (Advanced Persistence Threat) hatte es geschafft, 18.000 SolarWinds-Kunden durch die Bedrohungskampagne zu erreichen. Die Cyberkriminellen werden nicht langsamer und haben eine Reihe von maßgeschneiderten Malware-Ergänzungen in ihrem Arsenal entdeckt.

Bisher wurde der anfängliche Verstoßvektor für die Bereitstellung der GoldMax-Hintertür nicht ermittelt. Die Forscher konnten jedoch die wichtigste Funktion der Bedrohung aufdecken, die sie von ähnlicher Malware unterscheidet - GoldMax / Sunshuttle verwendet eine neuartige Erkennungs- und Umgehungstechnik, mit deren Hilfe der abnormale Datenverkehr besser mit demjenigen gemischt werden kann, der normalerweise durch die gefährdeten Personen oder Organizationen erzeugt wird. Die Bedrohung kann Verweise aus einer Liste legitimer Websites auswählen, zu denen Google.com, Facebook.com, Bing.com und Yahoo.com gehören.

Die erste Aktion von GoldMax / Sunshuttle nach der Ausführung besteht darin, die MAC-Adresse des Ziels aufzulisten und mit einem bestimmten fest codierten MAC-Adresswert zu vergleichen. Wenn eine Übereinstimmung auftritt, beendet die Bedrohung ihre Aktivität. Andernfalls werden die Konfigurationseinstellungen des infizierten Systems extrahiert. Der nächste Schritt besteht darin, einen Sitzungsschlüssel von den Command-and-Control-Servern (C2, C & C) anzufordern und anschließend zu empfangen. Forscher spekulieren, dass der Sitzungsschlüssel höchstwahrscheinlich zum Verschlüsseln bestimmter Inhalte verwendet wird.

Wenn GoldMax / Sunshuttle vollständig eingerichtet ist, kann es angewiesen werden, seine Konfiguration aus der Ferne zu aktualisieren, oder von den Angreifern verwendet werden, um Dateien abzurufen oder zu filtern und beliebige Befehle auszuführen.

Im Trend

Am häufigsten gesehen

Wird geladen...