微软和火眼又分别发现SolarWinds 供应链攻击的新后门

火眼从其中一个受陷组织机构的服务器上发现了一个新的“复杂的第二阶段后门”，被称为 “Sunshuttle”，由“一家位于美国的实体在2020年8月上传到恶意软件公开库“。

火眼公司的研究员 Lindsay Smith、Jonathan Leathery 和 Ben Read 认为 Sunshuttle 和 SolarWinds 供应链攻击事件的幕后黑手有关。火眼公司指出，“Mandiant 公司在由 UNC2452 攻陷的受害者处发现了 SUNSHUTTLE，并有线索表明与 UNC2542 之间存在关联但这种关联尚未完全证实。“

Sunshuttle 用 Go 语言编写，具有逃避检测的能力。目前，虽然尚不清楚用于安装该后门的感染向量是什么，但“很可能“当作第二阶段后门释放。火眼公司指出，”新后门 Sunshuttle 是复杂的第二阶段后门，具有直接但优雅的躲避技术，通过 C2 通信的“混合“流量能力实现。Sunshuttle 在这类攻陷中将被用作第二阶段后门，和其它与Sunburst 相关工具一起用于网络侦查。”

如果火眼公司发现的这款恶意软件被证实与 SolarWinds 攻击者之间确实存在关联，那么就是该供应链事件中出现的第五款恶意软件。SolarWinds 供应链攻击的幕后黑手被认为是 UNC2452（火眼）或 StellarParticle (CrowdStrike) 或SolarStorm (Polo Alto Unit 42) 或Dark Halo (Volexity)。

前四款恶意软件分别是 Sunspot、Sunburst (Solorigate)、Teardrop 和 Raindrop。在调查期间，Palo Alto Networks Unit 42 和微软还发现了另外一款恶意软件 SuperNova，虽然它和 UNC2452 之间并不存在关联，但也是通过 Orion 木马版本传递。

微软称从受害者网络上发现了第二阶段 payload，并称之为 “Nobelium”。微软威胁情报中心和微软365防御者研究团队将这三个新型恶意软件命名为 “GoldMax”、“Sibot” 和 “GoldFinder”。

Nobelium 黑客在2020年8月至9月期间在后期阶段使用了这些恶意软件。然而，研究人员认为 Nobelium 早在2020年6月就在受陷的 SolarWinds 客户系统上释放了这些恶意软件。

微软指出，这些恶意软件用于“维持可持久性以及在攻陷后阶段针对非常具体的和目标网络执行操作，甚至在事件响应阶段逃避初始检测。它们专用于特定网络，并且是在攻击者通过受陷凭据或 SolarWinds 二进制获得访问权限之后以及通过 TEARDROP 和其它键盘操作横向移动之后而引入的”。

微软指出，这三款恶意软件具有如下能力：

火眼和微软并未说明它们分别发现的恶意软件之间是否存在关联，但从 Sunshuttle 和 GoldMax 共享一个 C2 域名及其隐藏 C2 流量的能力来看，二者很可能是同一款恶意软件。微软指出，“这些能力与之前已知的 NOBELIUM 工具和攻击模式之间有所不同，而且增强了该行动者的复杂性。在攻击的所有阶段，该行动者体现了对常用于网络中的软件工具、部署、安全软件和系统以及事件响应团队经常使用的技术的深刻理解。“

微软还表示上个月SolarWinds 黑客还从数量有限的 Azure、Intune 和 Exchange 组件中下载了源代码。

本周一，SolarWinds 公司指出截止2020年12月，该供应链攻击事件带来的成本约为350万美元。在下个财务期间，应该还会生成更多的成本。

• 火眼发布的详情报告：

  https://www.fireeye.com/blog/threat-research/2021/03/sunshuttle-second-stage-backdoor-targeting-us-based-entity.html

• 微软发布的详情报告：https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/