Affaire SolarWinds : Microsoft a identifié trois nouveaux malwares

En collaboration avec FireEye, Microsoft a identifié trois nouveaux malwares utilisés dans le cadre de l'attaque contre SolarWinds par le groupe Nobelium.

Avant de parler de ces malwares, sachez que Nobelium est le nom donné par Microsoft à ce groupe de hackers. Microsoft a pour habitude de donner un nom d'élément chimique à un groupe de hackers lorsqu'il est lié à un Etat, comme par exemple Strontium pour un groupe de pirates russes qui avait fait parler de lui fin 2019.

Dans le cadre de cette attaques, il y a déjà eu plusieurs malwares identifiés : Sunburst, nommé également Solorigate, ainsi que Sunspot. D'ailleurs, Sunburst est la porte dérobée distribuée à 18 000 organisations au travers du logiciel Orion de SolarWinds.

L'enquête de Microsoft et FireEye a permise d'identifier trois nouvelles souches de malwares : GoldMax, GoldFinder et Sibot. De son côté, FireEye parle d'un autre nom pour les identifier : Sunshuttle.

GoldMax

Ecrit en Go, le langage de développement de Google, le malware GoldMax sert à communiquer avec le serveur de command & control (C2) des attaquants. Pour gagner en légitimité, il s'appuie sur des domaines réputés rachetés par les attaquants : ce qui aurait permis de passer outre les contrôles de nombreux produits de sécurité en trompant le score de réputation. Le trafic entre GoldMax et le serveur C2 est chiffré avec des clés de chiffrement AES-256 uniques, et le fichier de configuration du malware est chiffré également.

GoldFinder

Egalement écrit en Go, le malware GoldFinder est un outil de traçage HTTP qui va permettre d'identifier précisément le chemin réseau emprunté pour atteindre le serveur C2 des attaquants. Le serveur C2 de destination est codé en dur dans le code du malware GoldFinder.

Sibot

Ecrit en VBS, le malware Sibot a pour objectif de gagner la persistance sur la machine infectée pour que la machine puisse télécharger et exécuter une charge à partir du serveur C2. Microsoft a identifié trois variantes de Sibot.

Un trio de malwares qui sont complémentaires, avec chacun un rôle bien précis dans les interactions entre la machine infectée et le serveur C2 des attaquants.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3287 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.