SolarWinds是一家国际IT管理软件供应商,其Orion软件更新服务器上存在一个被感染的更新程序,导致美国多家企业及政府单位网络受到感染。此次供应链攻击事件引发的关联事件是12月8日FireEye发布被黑客攻击公告,可能泄露了一系列用于评估的网络安全测试工具。12月13日,FireEye发布公告,证实入侵事件是因为SolarWinds公司软件更新包中存在后门。与该后门相关的事件被FireEye称为UNC2452。
最近据路透社报道消息称,微软公司方面称:“与其他SolarWinds客户一样,我们一直在积极寻找该行为者的指标,并可以确认我们在环境中检测到了恶意的SolarWinds二进制文件,并将其隔离并删除了。我们没有找到访问生产服务或客户数据的证据。正在进行的调查表明,绝对没有迹象表明我们的系统曾被用来攻击他人。”微软总裁布拉德·史密斯说,已通知了位于比利时,加拿大,以色列,墨西哥,西班牙,阿联酋,英国和美国的40家易被攻击的客户。其中,44%的受害者集中在信息技术领域,包括软件公司、IT服务和设备提供商。
CISA发布新警告
随着SolarWinds事态发展之际,美国网络安全与基础设施安全局(CISA)发布了新的咨询报告,指出“ APT参与者在这些入侵中表现出耐心,操作安全性和复杂的技术手段”。与此同时,CISA还表示,发现了除SolarWinds Orion平台以外的其他初始感染媒介,对手已利用这些媒介进行发动攻击,其中包括先前被盗用的密钥,用于规避Duo的多因素身份验证(MFA)通过Outlook Web App(OWA)服务访问用户的邮箱。
Microsoft、FireEye和GoDaddy创建一个Killswitch
在过去的几天中,Microsoft、FireEye和GoDaddy夺取了对主要GoDaddy域之一avsvmcloud [。] com的控制权,该域已被黑客用来与受感染的系统进行通信,对其进行重新配置以创建一个可以防止出现故障的killswitch SUNBURST恶意软件无法继续在受害者的网络上运行。就其本身而言,SolarWinds尚未透露出攻击者如何准确地获得了对其系统的广泛访问,从而能够将恶意软件插入公司的合法软件更新中。最近的证据表明估计有18,000名Orion客户下载了包含后门的更新。
赛门铁克先前发现了属于100个客户的2,000多个系统,已收到特洛伊木马(SolarWinds Orion)更新的木马。现在,赛门铁克已确认部署了一个称为Teardrop的单独的第二阶段有效载荷,针对特定目标安装Cobalt Strike Beacon。美国人将此次黑客入侵归罪于俄罗斯威胁组织APT29,该组织也被称为“舒适熊”。美国人认为,在过去的一年中,该组织参与了一系列对美国关键基础设施的攻击。最新的入侵事件导致美国CISA、美国联邦调查局(FBI)和国家情报局局长办公室(ODNI)发表联合声明。
世界最大网络安全公司之一的FireEye被黑,红队渗透工具被盗
小心!微软发现Chrome、Firefox、Edge、Yandex多款浏览器遭Adrozek恶意软件劫持
Facebook追踪APT32 海莲花黑客关联到越南的IT公司
Facebook摊上大事!美国48个州和贸易委员会(FTC)反垄断起诉
AMNESIA:33 又一组严重的TCP / IP漏洞影响数百万个IoT设备
