\u00a0<\/p>\n
O agente de amea\u00e7as por tr\u00e1s do comprometimento da cadeia de suprimentos da SolarWinds continuou a expandir seu arsenal de malware com novas ferramentas e t\u00e9cnicas que foram implantadas em ataques j\u00e1 em 2019, uma vez que indicavam a natureza indescrit\u00edvel das campanhas e a capacidade do advers\u00e1rio de manter acesso persistente por anos.<\/p>\n
\u00a0<\/p>\n
De acordo com a empresa de seguran\u00e7a cibern\u00e9tica CrowdStrike, que detalhou as novas t\u00e1ticas adotadas pelo grupo de hackers Nobelium na semana passada, duas fam\u00edlias de malware sofisticadas foram colocadas nos sistemas das v\u00edtimas, uma variante Linux do GoldMax e um novo implante apelidado de TrailBlazer, muito antes da escala dos ataques acontecerem.<\/p>\n
\u00a0<\/p>\n
<\/p>\n
\u00a0<\/p>\n
Nobelium, o apelido atribu\u00eddo pela Microsoft para a invas\u00e3o da SolarWinds em dezembro de 2020, tamb\u00e9m \u00e9 rastreado pela comunidade de seguran\u00e7a cibern\u00e9tica mais ampla sob os nomes UNC2452 (FireEye), SolarStorm (Unidade 42), StellarParticle (CrowdStrike), Dark Halo (Volexity) e Iron Ritual (Secureworks).<\/p>\n
\u00a0<\/p>\n
As <\/span>atividades maliciosas<\/span> j\u00e1 foram atribu\u00eddas a um ator patrocinado pelo Estado russo chamado <\/span>APT29<\/span> (tamb\u00e9m conhecido como The Dukes and Cozy Bear), uma opera\u00e7\u00e3o de espionagem cibern\u00e9tica associada ao Servi\u00e7o de Intelig\u00eancia Estrangeira do pa\u00eds que est\u00e1 ativo desde pelo menos 2008.<\/span><\/p>\n \u00a0<\/p>\n GoldMax (tamb\u00e9m conhecido como SUNSHUTTLE), que foi descoberto pela Microsoft e FireEye (agora Mandiant) em mar\u00e7o de 2021, \u00e9 um malware baseado em Golang que atua como um backdoor de comando e controle, estabelecendo uma conex\u00e3o segura com um servidor remoto para executar comandos arbitr\u00e1rios na m\u00e1quina comprometida.<\/p>\n \u00a0<\/p>\n A Mandiant tamb\u00e9m apontou que os atores do Dark Halo usaram o malware em ataques desde pelo menos agosto de 2020, ou quatro meses antes da SolarWinds descobrir que suas atualiza\u00e7\u00f5es do Orion foram adulteradas com malware projetado para descartar implantes p\u00f3s-comprometimento contra milhares de seus clientes.<\/span><\/p>\n \u00a0<\/p>\n Em setembro de 2021, a Kaspersky revelou detalhes de uma segunda variante do backdoor GoldMax chamada Tomiris , que foi implantada contra v\u00e1rias organiza\u00e7\u00f5es governamentais em um estado membro da CEI sem nome em dezembro de 2020 e janeiro de 2021.<\/p>\n \u00a0<\/p>\n A itera\u00e7\u00e3o mais recente \u00e9 uma implementa\u00e7\u00e3o Linux anteriormente n\u00e3o documentada, mas funcionalmente id\u00eantica do malware de segundo est\u00e1gio que foi instalado nos ambientes das v\u00edtimas em meados de 2019, anterior a todas as outras amostras identificadas criadas para a plataforma Windows at\u00e9 o momento.<\/p>\n \u00a0<\/p>\n Outros canais incomuns usados \u200b\u200bpelo ator para facilitar os ataques incluem:<\/p>\n \u00a0<\/p>\n Al\u00e9m disso, os operadores realizaram v\u00e1rias inst\u00e2ncias de roubo de credenciais de dom\u00ednio com meses de intervalo, cada vez aproveitando uma t\u00e9cnica diferente, uma delas sendo o uso do ladr\u00e3o de senhas Mimikatz na mem\u00f3ria, de um host j\u00e1 comprometido para garantir o acesso por longos per\u00edodos de tempo.<\/p>\n \u00a0<\/p>\n “A campanha StellarParticle, associada ao grupo advers\u00e1rio Cozy Bear, demonstra o amplo conhecimento desse agente de amea\u00e7as dos sistemas operacionais Windows e Linux, Microsoft Azure, O365 e Active Directory, e sua paci\u00eancia e habilidades secretas para permanecer indetect\u00e1vel por meses e em alguns casos, anos”, conforme\u00a0 os pesquisadores.<\/span><\/p>\n<\/div>\n \u00a0<\/p>\n Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/02\/new-malware-used-by-solarwinds.html<\/a>\u00a0 Autor: <\/a><\/div>\n
\u00a0<\/div>\n\u00a0<\/div>\nTamb\u00e9m entregue no mesmo per\u00edodo foi o TrailBlazer, um backdoor modular que oferece aos invasores um caminho para a espionagem cibern\u00e9tica, ao mesmo tempo em que compartilha pontos em comum com o GoldMax na maneira como mascara seu tr\u00e1fego de comando e controle (C2) como solicita\u00e7\u00f5es HTTP leg\u00edtimas de Notifica\u00e7\u00f5es do Google.<\/span><\/div>\n\u00a0<\/div>\n\n\n