Fireeye和合作伙伴发布Solarwinds杀戮开关
Fireeye和Partners Godaddy和Microsoft通过国家支持演员使用的Solarwinds Sunburst / SlayGe Malware部署了所谓的杀戮切换,以损害多个美国政府部门和Fireeye,减轻广泛攻击的一些潜在影响。
网络攻击看到SolarWinds网络的妥协和代码插入其ORION网络管理平台,然后将其分发给大约18,000个客户组织,并用作攻击者妥协其受害者的手段。
在最初分发给Kressecurity的声明中,Fireeye表示已发现,根据恶意软件使用AVSVVMCLoud [。] COM域时,根据恶意软件呼叫其命令和控制(C2)基础架构,根据IP地址返回的IP地址,它终止本身并阻止进一步执行。
“这种杀戮交换机将通过禁用仍然致信到AVSVMCLOUD [。] COM的森伯斯特部署来影响新的和以前的森伯斯特感染,”Fireeye Spokesperson在声明中表示。
根据BLEEPingComputer“SReporting,通过一起使用来抓住此域并创建通配符域名系统(DNS)解决方案以强制它来解决其Bockllist中的IP地址 - 在本例中为20.140.0.1。 - Fireeye,Godaddy和Microsoft确保森伯斯特将停止运作。
有问题的IP地址由Microsoft控制,这可能是为什么Sunburst的创建者将其添加到他们的块列表中,以便更好地混淆他们的活动。
然而,Fireeye继续指出,这并不一定是森伯斯特受害者的治疗,因为在它迄今为止的侵入中,攻击者迅速建立了进一步的后门和持久性机制。
“这个杀戮开关不会从他们建立其他后门的受害者网络中删除演员,”该公司的发言人表示。“然而,对于演员来利用先前分布式的森伯斯特版本,这将使它变得更加困难。”
与此同时,随着攻击更多的智力,问题继续为Solarwinds安装。12月16日星期三,英特尔471的研究人员表示,他们已经看到他们曾看到俄语演员在三年前努力出售对Solarwinds的访问权限,并声称卖方“据称试图更深入地进入Solarwinds网络并最终向来源进行工作。其产品代码“。这将与森伯斯特袭击的方法进行计数。
研究人员表示,其他演员以来声称可以访问SolarWinds网络,包括一个带有Revil / SodInokibi Ransomware Gang的链接,尽管这不一定是链接的任何指示。
Data Protection专家Asigra执行副总裁Eran Farajun表示,他一直警告关于远程监控和管理(RMM)软件的攻击潜力 - 例如Solarwinds产品 - 一段时间。
“rmm是,仍然存在,攻击和备份软件的柔软底层软件被集成到Solarwinds RMM平台ORION中,”他说。“以与rmm受到损害并用作遍历源网络和机器的代理以及exfiltrate数据的方式相同的方式,威胁演员可以用勒索软件来实现利润。
“备份也是如此。一旦通过RMM,它就是跳跃,跳过和跳转到集成的备份应用程序。最好的防御战略是将这些重要的应用程序分开并保护它们保护它们保护其他重要生产系统。“
美国媒体中的其他报告称,质疑与在攻击袭击宣布之前的最高投资者销售数百万美元的公司股票之后,与事件发生在发生的事件中的人们与SolarWinds相关的行动。从那时起,公司的股票已经失去了超过了其价值的五分之一。
根据华盛顿邮报的说法,两位投资者与可疑交易有关的是银湖和Thoma Bravo,既有高调的私募股票,都有大规模投资科技产业。在他们之间,他们占70%的Solarwinds,并在其板上有六个座位,这将使他们能够获得关键内幕信息。这两个投资者都表示他们没有意识到网络攻击,而Solarwinds没有评论。
鉴于Solarwinds意识到攻击时仍然是未知的,交易活动的时间几乎肯定会引发证券交易委员会的监管调查。