бэкдор обновление SolarWinds Orion GoDaddy SUNBURST Solorigate Microsoft
Компании Microsoft удалось захватить контроль над доменами, использовавшимися хакерами для связи со взломанными системами.
Производитель сервисов для мониторинга сети SolarWinds официально выпустил второе «горячее» исправление для уязвимости в своей платформе Orion, которой воспользовались хакеры для внедрения вредоносного ПО в рамках масштабной кибершпионской операции.
В своем уведомлении безопасности SolarWinds настоятельно рекомендует пользователям Orion как можно скорее обновить платформу до версии 2020.2.1 HF 2.
Напомним, финансируемая правительством неизвестной страны киберпреступная группировка взломала сети SolarWinds и внедрила вредоносное ПО SUNBURST (также известное как Solorigate) в обновления для платформы Orion (в версии от 2019.4 до 2020.2.1, выпущенные в марте-июне 2020 года).
Производитель изучил и другие версии Orion, но не обнаружил никаких следов бэкдора.
«Мы просканировали код всех наших программных продуктов на предмет маркеров, подобных тем, что использовались в атаке на нашу платформу Orion, […] и не обнаружили никаких свидетельств того, что другие версии платформы Orion или другие наши продукты и агенты содержат эти маркеры», — сообщается в уведомлении SolarWinds.
Хотя подробности о том, как злоумышленники взломали сети SolarWinds, не раскрываются, известно, что Microsoft совместно с другими компаниями удалось захватить контроль над ключевыми доменами GoDaddy (avsvmcloud[.]com), использовавшимися хакерами для связи со скомпрометированными системами. Изучив захваченные домены, специалисты смогут идентифицировать всех пострадавших и заблокировать злоумышленникам возможность дальнейшего проникновения в скомпрометированные сети.
Попав на систему, SUNBURST никак не проявлял себя в течение 12-14 дней, а затем устанавливал связь с поддоменом avsvmcloud[.]com. По данным ИБ-компании FireEye, C&C-домен отправлял DNS-ответ, содержащий поле CNAME с информацией о другом домене, откуда вредонос получал дальнейшие инструкции и дополнительную полезную нагрузку для выполнения в скомпрометированной корпоративной сети.
По словам Microsoft, с 15 декабря она начала блокировать вредоносные файлы SolarWinds.
Источник: