close
黑客攻擊時間線(圖自:SolarWinds)
CrowdStrike 補充道:盡管 Sunspot 的痕跡剛被發現,但它其實是黑客攻擊 SolarWinds 所使用的第一款惡意軟件,部署時間可追溯到首次侵入該公司內部網絡的 2019 年 9 月。
攻擊者將惡意軟件植入到瞭 SolarWinds 的應用程序構建服務器上,且 Sunspot 有一個獨特的目的,即監視該服務器的構建命令。
該服務器用於將功能封裝到應用程序,而 SolarWinds 的 IT 資源監管平臺又被全球超過 3.3 萬個客戶所使用。
一旦檢測到構建命令,Sunspot 就會用加載瞭 Sunburst 惡意軟件的文件、以無提示的方式來替換 Orion 應用程序內的源代碼文件,從而導致 Orion 從源頭就被污染。
在感染瞭 SolarWinds 和 Orion 客戶的更新服務器之後,這些木馬最終被安裝到瞭許多客戶的內部網絡中。
調查人員在許多企業和政府機構的內部網絡內找到瞭被激活的 Sunburst 惡意軟件,預計有大量受害者的數據被傳遞到瞭 SolarWinds 攻擊者的手中。
然後根據目標網絡的輕重程度,黑客有選擇地在某些系統上部署瞭功能更強大的 Teardrop 木馬後門,同時將風險過高、或不再需要的 Sunburst 惡意軟件從目標系統中移除。
即便如此,安全研究人員還是找到瞭有關第三款惡意軟件的蛛絲馬跡,而 CrowdStrike 的最新調查證實它就是 Sunspot 。
全站熱搜
留言列表
