针对SolarWinds供应链攻击的恶意程式其实不只4种！FireEye、微软揭露最新发现

在2020年12月爆发的SolarWinds供应链攻击事件，目前为止已被发现了4个恶意程式，而到了最近，研究人员又有重大的发现。在3月4日，FireEye与微软不约而同揭露他们新找到的恶意软件，这些恶意软件的共通点，就是它们多半是采用Go语言开发而成，并疑似被骇客组织运用于第2阶段攻击行动。

在此之前被公布的4个恶意程式，分别是最早被发现的后门程式Sunburst，以及SolarWinds委由CrowdStrike调查所找出、攻击过程最早入侵的Sunpot，再者，还有被视为第2阶段攻击工具、客制化恶意载入程式的Teardrop与Raindrop。而这次FireEye与微软发现的恶意软件，都与攻击流程的第2阶段有关，且具备藏匿网络通讯流量的能力，而没有在第一时间被发现。

FireEye在公开恶意软件数据库发现疑似与SolarWinds事件有关的攻击软件

其中，由FireEye公布的新恶意软件名为Sunshuttle，该公司指出，他们起初看到这个恶意软件的来源，是一个美国组织于2020年8月，将这个Sunshuttle上传到公开的恶意软件数据库。经过他们的分析，Sunshuttle是由Go语言编写的后门程式，很有可能被骇客应用于第2阶段攻击行动，并做为Sunburst有关工具之间的网络通讯之用。FireEye指出，他们也在遭到供应链攻击的受害组织中看到Sunshuttle，并发现这个恶意软件疑似与攻击者UNC2542有所关连的迹象。

对于Sunshuttle后门程式的特性，FireEye进一步指出，骇客展现“优雅的”回避侦测技巧──他们运用了融入网络流量的做法，来隐藏与C&C中继站之间的通讯。不过，骇客究竟如何植入Sunshuttle？该公司表示仍有待厘清。

微软公布3个恶意程式，并指出较明确的攻击时间点

而对于骇客于攻击第2阶段所运用的恶意程式，微软也在同日发布研究结果──他们这次一口气公布了3个恶意软件酬载，并命名为GoldMax、Sibot，以及GoldFinder。该公司指出，这些恶意程式疑似是此起事件的骇客组织（该公司现称为Nobelium）于2020年8月至9月之间，在供应链攻击行动的后期使用。而他们认为，攻击者早在同年6月就将这些恶意程式植入到受害组织。

这些恶意软件的用途为何？微软认为，这是骇客为了持续在受害组织上运作的工具，特别针对指定网络环境量身打造，甚至在攻击事件回应的阶段，仍成功回避了初步侦测。进一步来说，这3个恶意软件各司其职，GoldMax是与C&C中继站通讯的后门程式，为了隐藏恶意行为，这个恶意软件具备产生诱饵网络流量的功能（Decoy Network Traffic Generation），将恶意网络流量埋藏到正常的网络流量。

而Sibot则是骇客用在持续在受害环境运作的工具，并且可接收第2阶段攻击程式码的指令，下载额外的恶意软件酬载。至于GoldFinder，微软推测很有可能是自制的HTTP追踪工具，用来侦测受害装置与C&C中继站之间的网络安全设备。

在SolarWinds供应链攻击的第2阶段中，被微软发现的3个恶意程式之一Sibot，它主要的功能是接收指令下载档案，微软指出该软件有3种变种，差别是连线到C&C中继站的途径，分别是透过登入档接收程式码指令的变种A、从恶意排程接收程式码的变种B，以及搭配独立程式码直接连线到中继站的变种C。

从恶意软件的特质与被滥用的时间点来看，FireEye与微软揭露的恶意软件似乎有所雷同，但是否就是相同的恶意软件？两家公司并未直接证实。FireEye宣称微软也对于相同的攻击行动揭露细节，微软则是表示会持续与FireEye合作，来保护他们共同的用户。但从Sunshuttle与GoldMax都会隐藏恶意流量，且具备相同的C&C中继站位置，以及执行时会比对特定的MAC位址（c8:27:cc:c2:37:5a）等特性，它们很有可能隶属于相同的恶意软件家族。