《NTT:全球威胁情报中心月度报告(英文版)(8页).pdf》由会员分享,可在线阅读,更多相关《NTT:全球威胁情报中心月度报告(英文版)(8页).pdf(8页珍藏版)》请在三个皮匠报告上搜索。
1、2020年2月20日,生产网络和应用程序监控平台的SolarWinds公司遭受网络攻击,将恶意软件上传到Orion平台的更新中。这个名为Sunburst的恶意软件破坏了SolarWinds的合法软件更新,并被分发给政府和私营部门的17000多名SolarWinds客户。2020年6月,当威胁参与者从SolarWinds的系统中移除恶意软件时,入侵仍未被发现。根据这次事件发生时美国情报部门的评估,在被袭击的17000个组织中,只有极少数真正遭到破坏。这一评估后来发生了变化,随着调查的继续,网络分析师继续发现有关太阳风网络攻击的更多细节。最近有关SolarWinds入侵归因的信息显示,国家高级持久
2、性威胁(APT)很可能是特洛伊木马攻击的罪魁祸首。UNC2452,也被称为暗晕,APT29,也被称为舒适熊,俄罗斯威胁演员图拉已被列为太阳风袭击的可能来源。舒适熊通常与俄罗斯对外情报局SVR联系在一起,而图拉通常与俄罗斯情报局FSB联系在一起。根据可疑的俄罗斯黑客工具以及战术、技术和程序(TTP),分析人士确定了图拉的攻击方法与SolarWinds攻击的相似之处,包括使用的恶意软件类型。Sunburst,也叫Solarigate,是使用额外的Sunspot恶意软件上传到SolarWinds Orion平台的,类似于Turla网络攻击中使用的Kazuar后门。Kazuar与Sunburst有几个共同的特点。Kazuar和Sunburst的相似之处包括用于生成受害者唯一标识符(uid)的算法、FNV-1a散列的广泛使用以及两个后门使用的休眠算法。造成这些相似性的可能原因可能是,如果Sunburst的开发人员从Kazuar的编码中收集到创意,或者恶意软件来自同一个来源,那么Sunburst的开发人员与Kazuar的开发人员是同一个工程师。