De nouvelles souches de malwares utilisées par le nouveau groupe baptisé « Nobelium » dans l’attaque SolarWinds ont été identifiés par Microsoft et FireEye. Selon Microsoft, plusieurs autres malwares avaient été utilisés dans la cyberattaque ayant affecté le fournisseur américain de logiciels SolarWinds.

Dernièrement, Microsoft a révélé trois nouvelles souches de malwares utilisées par le groupe Nobelium : GoldMax, GoldFinder et Sibot. Quant à FireEye, elle a découvert récemment le malware Sunshuttle provenant du groupe baptisé UNC2452. Selon Microsoft, GoldMax serait un implant servant de porte dérobée de commande et de contrôle (C2). Elle a été codée dans le langage de programmation de Google, Go.

Bien que la manière dont ce malware a été installé n’est pas encore claire, FireEye explique qu’il s’agit d’une porte dérobée de deuxième étape, téléchargée après une première intrusion. La conception de Sunshuttle a été décrite par la société comme étant « sophistiquée » et « élégante ». FireEye a précisé dans son analyse que : « SUNSHUTTLE est une porte dérobée sophistiquée de seconde étape qui démontre des techniques de détection simples mais élégantes, par le biais de ses capacités de trafic "intégré" pour les communications C2».

GoldMax, quant à lui, est utilisé pour communiquer exclusivement avec le C2 du pirate et se base sur des domaines réputés et rachetés par les acteurs malveillants. D’après Microsoft, ce choix de domaines a permis à GoldMax d’éviter de déclencher des alarmes dans la majorité des produits de sécurité examinant les scores de réputation de cette manière. Quant à Sibot, qui est fabriqué avec Visual Basic Scripting (VBScript) de Microsoft, est un malware à double usage. Son objectif principal est d’obtenir plus de persistance sur une machine infectée pour arriver à télécharger et exécuter une charge utile à partir d’un serveur de commande distant. Trois variantes de Sibot ont été identifiées par Microsoft téléchargeant toute une charge utile malveillante.

GoldFinder, aussi écrit en go, est un outil de traçage http personnalisé qui permet l’enregistrement de la route ou bien les sauts pris par un paquet afin d’atteindre un serveur de commande codé en dur.