卡巴斯基索赔尊重和Kazuar之间的联系
CCS推出£800M NHS IT框架
澳大利亚监管机构起诉网络安全失误的RI建议
普利茅斯举办了世界上第一个5G海洋的海洋试验用
UDG Healthcare部署AT&T,Cisco SD-WAN获取智能边缘
TCS免费获得审慎的金融技术运营单位
地平线的主要边境中断为brexit它投资组合成为“unmonagable”
公共部门所需的算法透明度义务
Azure AD崩溃锁定的组织
伯明翰,达德利委员会加速5G推出
纯净的现金,为portworx支付370米
哈克尼委员会的服务被扰乱了“一段时间”
Reckitt Benckiser与Google Cloud一起开始数据驱动的营销大修
LORCA安全扩展措施达到资金里程碑
英国空间机构奖励空间创新项目700万英镑
DCMS的WhittingDale:国家数据策略进入咨询后阶段
Tesco使用NetCall加速保险索赔进程
爱立信5G乘坐沉阳地铁,去丹麦和西班牙发射
通过预算和落后计划的国家警务系统合并
RCS预测将以2028年向移动运营商提供52.2亿美元
美国立法者释放大型技术反垄断报告
GDPR的威胁越来越多地驾驶安全购买决策
爱立信索赔了非洲的强劲势头
阿里巴巴云推出了“云计算机”,送货机器人
Atos首次亮相OneCloud计划,帮助加快企业迁移到可持续云设置
英国政府阐述了5G技术多样化策略
未来英国 - 欧盟数据分享通过Brexit立法提供风险
布鲁塞尔说,欧盟安全战略对网络领导的“加强”
加拿大广告公司用HPE和CTERA超级融合减去44U
新西兰激活安全服务,因为DDOS中断进入第四天
Fireeye和合作伙伴发布Solarwinds杀戮开关
ICO表示,教育部门未能保护数百万儿童的数据
开放数据学院探讨了各种数据治理结构范围
竞争和市场权威与饼干和隐私战斗
内部VMware的Kubernetes Playbook
NVIDIA可以通过31亿英镑的ARM交易扩展软件业务吗?
空气净化器制造商在云中创建IOT服务
ANZ Bank将数字银行服务移动到集装箱平台
自锁定峰值以来,英国技术部门的工作增长了36%
DCMS开通与数字身份市场的未来与私营部门交谈
北欧国家开发普通数字系统
诺基亚钟起到100 5G优惠和160个商业5G的订婚
Bechtel加入CityFibre千兆宽带推出计划
英国学术界的Vilicom,英国学术界为Spearhead 5G和AI研究获得资金
Grindr和其他补丁关键的Android错误
Beis报告说,新兴科技可以改善监管流程
斯柯达自动转换网络基础设施,加速业务增长
政府使数字领导层变化
Interdealer经纪人在BT上投注基础设施
Ryuk袭击主要事件中的私人健康提供者
您的位置:首页 >产品 > 电子产品 >

卡巴斯基索赔尊重和Kazuar之间的联系

2021-09-15 20:43:56 [来源]:

根据Kasperksy的安全研究团队的说法,在2020年底部署了与Solarwinds Orion客户的崇容/森伯斯特的恶意软件与Kazuar后域的已知版本的代码相似之处。

Kazuar是使用.NET Framework的后门编写的,并于2017年由Palo Alto的42册安全团队发现,并在莫斯科支持的Turla高级持久威胁(APT)组时暂时联系。在过去的几年里,它已经大量用于世界各地的网络间谍攻击,卡巴斯基的调查结果对该理论提供了更多的重量,即2020年12月的网络攻击是俄罗斯订购的间谍活动。

这两者之间的重叠特征包括受害者UID生成算法,睡眠算法和FNV-1A哈希的使用,包括该公司的全球研究和分析团队的总监Kasperksy's Costin Raiu表示。

Raiu表示,代码片段不是100%相同,意思是关系的性质,如果有的话,如果有的话,并不完全清楚,但由于Solorige / Sunburst自近12个月前首次部署,萨克本身也进一步发展,在某些方面,其最近的变体更加类似。

“所确定的联系并没有放弃谁在太阳能攻击后面;但是,它提供更多的见解,可以帮助研究人员在这项调查中向前发展,“拉伊说。“我们认为,世界各地的其他研究人员都会调查这些相似之处,并试图发现关于Kazuar和Sunburst的起源的更多事实,在Solarwinds违规中使用的恶意软件。

“从过去的经验中判断,例如回顾佛教攻击,在初期将它们与拉撒路集团相连的事实很少。及时,更多的证据出现并允许我们和其他人以高信任将它们联系在一起。关于这一主题的进一步研究对于连接点至关重要。“

拉伊说,有几种可能的异议解释。例如,Soloration / Sunburst和Kazuar可以由同一组或Sunburst的开发人员开发,被称为Dark Halo或UNC2452,可能受到Kazuar制造商的启发。或者,这两个组都可以从第三方获得他们的恶意软件,或者某人可以交换团队,与他们一起接受知识和工具。

卡斯巴斯基 - Turla表示,编码相似之处甚至可能是一个错误的旗帜,本身都被录取了他人的机会主义的“劫持”作为过去的混淆技术。

卡巴斯基团队补充说,无论重叠表示,他们的研究都不应该改变任何用于防守者的东西 - 供应链攻击是一般,非常复杂,非常危险,无论他们的血统如何。

为了限制这种攻击潜在暴露,卡巴斯基建议捍卫者采取三个关键步骤。首先,网络管理软件应在单独的VLAN上隔离并与用户网络分开监视。其次,来自服务器或运行第三方软件的其他设备的外部互联网连接应该有限。第三,捍卫者应该定期定期内存倾倒和分析,检查使用与恶意软件数据库匹配的代码相似性工具以解密状态运行的恶意代码 - 卡巴斯基自己的威胁归因引擎是一个这样的工具,其他工具可用。

供应商还建议提供安全团队访问威胁情报服务。

有关两台恶魔座之间的明显环节的更多信息,包括在卡巴斯基的Securelist Blog上可以找到深入的技术细节。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。