研究人员发现了太阳风黑客使用的3种新的恶意软件

FireEye和微软周四表示，他们又发现了三种与SolarWinds供应链攻击有关的恶意软件，包括一个“复杂的第二阶段后门”，因为对大规模间谍活动的调查继续提供有关威胁行为人战术和技术的新线索。

这套新的恶意软件被称为GoldMax（又名SUNSHUTTLE）、GoldFinder和Sibot，它增加了越来越多的恶意工具，如Sunspot、Sunburst（或Solorigate）、Teardrop和Raindrop，这些工具都是由所谓的俄罗斯特工秘密传送到企业网络的。

微软表示：“这些工具都是新的恶意软件，对这名参与者来说是独一无二的。”。“它们是为特定网络量身定制的，在演员通过泄露的凭证或SolarWinds二进制文件获得访问权限后，以及在用泪珠和其他手按键盘动作横向移动后，将被评估为引入。”

微软还借此机会将袭击SolarWinds的幕后黑手命名为诺贝尔奖网络安全社区也在用不同的名字追踪它，包括UNC2452（FireEye）、SolarStorm（帕洛阿尔托42号机组）、StellarParticle（CrowdStrike）和Dark Halo（Volexity）。

虽然太阳黑子被部署到构建环境中，将太阳暴流后门注入太阳风的猎户座网络监控平台，但泪滴和雨滴主要被用作开发后的工具，在网络中横向移动，并传送钴打击信标。

Spotted between August to September 2020, 太阳梭是一种基于Golang的恶意软件，充当命令和控制后门，与攻击者控制的服务器建立安全连接，以接收下载和执行文件的命令，将文件从系统上载到服务器，并在受损机器上执行操作系统命令。

FireEye表示，它在一名受UNC2452攻击的受害者身上观察到了恶意软件，但补充说，它还无法完全验证后门与威胁参与者的连接。该公司还表示，在一家未具名的美国实体将SUNSHUTTLE上传到一个公共恶意软件存储库后，它于2020年8月发现了该软件。

GoldMax最显著的功能之一是，通过伪随机地从一系列流行网站URL（如www.bing.com、www.yahoo.com、www.facebook.com、www.twitter.com和www.google.com）中选择推荐者，为指向C2域的诱饵HTTP GET请求屏蔽恶意网络流量。

FireEye详细介绍说：“新的SUNSHUTTLE后门是一个复杂的第二阶段后门，通过其C2通信的‘混合’通信能力，展示了简单但优雅的检测规避技术。”。“SUNSHUTTLE将作为第二阶段的后门，与其他与Sunsburst相关的工具一起进行网络侦察。”

淘金者，也是用Go编写的，是一种HTTP跟踪工具，用于记录数据包到达C2服务器的路径。相反西博特是一种用VBScript实现的双用途恶意软件，旨在从C2服务器下载并执行有效负载之前，在受感染的机器上实现持久性。微软表示，它观察到了三种模糊的Sibot变体。

尽管太阳风攻击谜题的不同部分已经就位，但这一发展再次强调了用于在受害者环境中渗透、传播和持久化的各种方法的范围和复杂性。

“这些功能不同于之前已知的NOBELIUM工具和攻击模式，重申了参与者的复杂性，”微软说。“在攻击的各个阶段，参与者都展示了对软件工具、部署、网络中常见的安全软件和系统以及事件响应团队经常使用的技术的深入了解。”