Fireeye和合作伙伴发布Solarwinds杀戮开关
ICO表示,教育部门未能保护数百万儿童的数据
开放数据学院探讨了各种数据治理结构范围
竞争和市场权威与饼干和隐私战斗
内部VMware的Kubernetes Playbook
NVIDIA可以通过31亿英镑的ARM交易扩展软件业务吗?
空气净化器制造商在云中创建IOT服务
ANZ Bank将数字银行服务移动到集装箱平台
自锁定峰值以来,英国技术部门的工作增长了36%
DCMS开通与数字身份市场的未来与私营部门交谈
北欧国家开发普通数字系统
诺基亚钟起到100 5G优惠和160个商业5G的订婚
Bechtel加入CityFibre千兆宽带推出计划
英国学术界的Vilicom,英国学术界为Spearhead 5G和AI研究获得资金
Grindr和其他补丁关键的Android错误
Beis报告说,新兴科技可以改善监管流程
斯柯达自动转换网络基础设施,加速业务增长
政府使数字领导层变化
Interdealer经纪人在BT上投注基础设施
Ryuk袭击主要事件中的私人健康提供者
Daniel Ellsberg说,美国历史上最重要的宣传录
铁山与Telia承运人的全球连接合作
英国政府在农村宽带的投资
英国 - 欧盟Brexit交易通过共享六个月的数据充足桥
空间直流眼睛印度尼西亚数据中心
APAC Cisos热身零信任
Avast和Borsetta支持英特尔的AI安全项目
东方首席执行官建议初创公司以创造自己的收入流
Microsoft旨在锐化边缘,使用Azure为运营商进行5G部署
AT&T TAPS诺基亚推动支持CBRS的行业4.0私人网络
Nimbus Data在一个驱动器中启动64TB的QLC闪光灯8,000英镑
GDS寻找Gov.uk技术和建筑负责人
Interxion投资于与维也纳校园扩张的奥地利扑发存在
数据安全将使用户控制其数据
TicketMaster通过ICO罚款1.25米,未能保护客户数据
BBVA在AWS云上创建市场信息基础架构
英国水文办公室推出创新计划
伊利亚德集团汇款汇款额为2.2亿欧元
2020年的十大集装箱存储故事
华为将2019年颂为“非凡”一年
西米德兰兹5克,西米德兰斯运输揭开了“革命”的运输项目
欧盟在奥地利,法国攻击后更接近加密禁令
CityFibre,PQMS展开网络施工培训伙伴关系
更多的Joker Malware应用程序夹住Google Play商店
Oracle瞄准超高速公路,眼睛VMware工作负载
瑞典银行在达宁报告后重建反洗钱系统
HMRC尚未开始建造英国边境IT系统
IBM加入谷歌,微软和甲骨文与英国政府签署优惠云定价协议
国会议员敦促向贷款收费政策撤回金融法案修正案
负责任的网络在7M新的交易中获得缩放
您的位置:首页 >产品 > 智能硬件 >

Fireeye和合作伙伴发布Solarwinds杀戮开关

2021-09-15 12:43:59 [来源]:

Fireeye和Partners Godaddy和Microsoft通过国家支持演员使用的Solarwinds Sunburst / SlayGe Malware部署了所谓的杀戮切换,以损害多个美国政府部门和Fireeye,减轻广泛攻击的一些潜在影响。

网络攻击看到SolarWinds网络的妥协和代码插入其ORION网络管理平台,然后将其分发给大约18,000个客户组织,并用作攻击者妥协其受害者的手段。

在最初分发给Kressecurity的声明中,Fireeye表示已发现,根据恶意软件使用AVSVVMCLoud [。] COM域时,根据恶意软件呼叫其命令和控制(C2)基础架构,根据IP地址返回的IP地址,它终止本身并阻止进一步执行。

“这种杀戮交换机将通过禁用仍然致信到AVSVMCLOUD [。] COM的森伯斯特部署来影响新的和以前的森伯斯特感染,”Fireeye Spokesperson在声明中表示。

根据BLEEPingComputer“SReporting,通过一起使用来抓住此域并创建通配符域名系统(DNS)解决方案以强制它来解决其Bockllist中的IP地址 - 在本例中为20.140.0.1。 - Fireeye,Godaddy和Microsoft确保森伯斯特将停止运作。

有问题的IP地址由Microsoft控制,这可能是为什么Sunburst的创建者将其添加到他们的块列表中,以便更好地混淆他们的活动。

然而,Fireeye继续指出,这并不一定是森伯斯特受害者的治疗,因为在它迄今为止的侵入中,攻击者迅速建立了进一步的后门和持久性机制。

“这个杀戮开关不会从他们建立其他后门的受害者网络中删除演员,”该公司的发言人表示。“然而,对于演员来利用先前分布式的森伯斯特版本,这将使它变得更加困难。”

与此同时,随着攻击更多的智力,问题继续为Solarwinds安装。12月16日星期三,英特尔471的研究人员表示,他们已经看到他们曾看到俄语演员在三年前努力出售对Solarwinds的访问权限,并声称卖方“据称试图更深入地进入Solarwinds网络并最终向来源进行工作。其产品代码“。这将与森伯斯特袭击的方法进行计数。

研究人员表示,其他演员以来声称可以访问SolarWinds网络,包括一个带有Revil / SodInokibi Ransomware Gang的链接,尽管这不一定是链接的任何指示。

Data Protection专家Asigra执行副总裁Eran Farajun表示,他一直警告关于远程监控和管理(RMM)软件的攻击潜力 - 例如Solarwinds产品 - 一段时间。

“rmm是,仍然存在,攻击和备份软件的柔软底层软件被集成到Solarwinds RMM平台ORION中,”他说。“以与rmm受到损害并用作遍历源网络和机器的代理以及exfiltrate数据的方式相同的方式,威胁演员可以用勒索软件来实现利润。

“备份也是如此。一旦通过RMM,它就是跳跃,跳过和跳转到集成的备份应用程序。最好的防御战略是将这些重要的应用程序分开并保护它们保护它们保护其他重要生产系统。“

美国媒体中的其他报告称,质疑与在攻击袭击宣布之前的最高投资者销售数百万美元的公司股票之后,与事件发生在发生的事件中的人们与SolarWinds相关的行动。从那时起,公司的股票已经失去了超过了其价值的五分之一。

根据华盛顿邮报的说法,两位投资者与可疑交易有关的是银湖和Thoma Bravo,既有高调的私募股票,都有大规模投资科技产业。在他们之间,他们占70%的Solarwinds,并在其板上有六个座位,这将使他们能够获得关键内幕信息。这两个投资者都表示他们没有意识到网络攻击,而Solarwinds没有评论。

鉴于Solarwinds意识到攻击时仍然是未知的,交易活动的时间几乎肯定会引发证券交易委员会的监管调查。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。