太阳风黑客调查揭示了新的Sunspot恶意软件

人群罢工研究人员已记录了Sunspot,这是SolarWinds攻击者用来将Sunburst恶意软件插入公司的一种恶意软件 ’s Orion software.

太阳风还透露了该事件的新时间表,并发现了两个他们认为可能与在客户基础架构上部署的Sunburst恶意软件有关的客户支持事件。

最终,卡巴斯基实验室的研究人员发现了Sunburst恶意软件和与Turla APT组织(普遍认为是由俄罗斯政府赞助)相关的后门之间的一些相似之处。

发现新的恶意软件

Sudhakar Ramakrishna,SolarWinds’ 新任首席执行官周一表示,该公司正在与他们的律师,跨国律师事务所DLA Piper,网络安全公司CrowdStrike,咨询公司KPMG和 其他行业专家 对攻击进行根本原因分析,并与执法部门,情报界,政府和行业同事进行调查。

共享 攻击时间表(根据最新发现编制),揭示了向SunWinds注入Sunburst恶意代码(后门)的来源’Orion平台:一种称为Sunspot的新型恶意软件。

太阳风黑子

根据Crowdstrike研究人员的说法,Sunspot是一种持久性工具,已部署到SolarWinds中’构建环境以监视正在运行的进程。

“当Sunspot找到一个MsBuild.exe进程(Microsoft Visual Studio开发工具的一部分)时,它将产生一个新线程来确定是否正在构建Orion软件,如果是,则劫持该构建操作以注入Sunburst。监视循环每秒执行一次,从而使Sunspot可以在编译器读取目标源代码之前对其进行修改,” the researchers 解释.

他们还共享了攻击者用来确保恶意软件使用的许多策略,技术和程序(TTP)’持久性,以确保代码篡改不会导致构建错误,并最大程度地降低SolarWinds检测到它们的存在和操作的可能性。

Ramakrishna还确认,攻击者已在2019年末进行了一次测试,以确保SolarWinds不会检测到他们未来的恶意努力,并透露他们在攻击时间表内发现了之前与Sunburst有关的两次客户支持事件。

“我们与客户和两家第三方安全公司一起调查了第一家。当时,我们还没有确定可疑活动的根本原因,也没有确定Orion Platform软件中是否存在Sunburst恶意代码。第二起事件发生在11月,同样,我们也没有发现Sunburst恶意代码的存在。我们仍在调查这些事件,并与执法机构共享与它们有关的信息,以支持调查工作,” he concluded.

恶意软件的相似之处

卡巴斯基实验室研究人员 分析 与Sunburst恶意软件相比,与Kazuar相比发现了几个代码相似之处.Kazuar是Palo Alto于2017年首次报告的.NET后门程序,该后门程序已与Turla APT组相关联。

两种恶意软件使用相同的算法来计算恶意软件进入新C之前休眠的时间&C服务器连接,用于字符串混淆的相同哈希算法和用于生成唯一受害者标识符的相同算法。

“Kazuar和Sunburst之间的这些代码重叠非常有趣,它们代表了第一个潜在的已识别链接,该链接指向先前已知的恶意软件家族,”研究人员指出,但补充说,对于这些相似性有几种可能的解释(除了与Kazuar相同的团队开发的Sunburst)。

其中包括以Kazuar为灵感点的SolarWinds攻击者,两个小组都从同一(第三方)来源获取恶意软件,Kauzar开发人员成为了SolarWinds黑客背后的小组成员。’也有可能故意引入相似性以误导研究人员。

“目前,我们不知道这些选项中的哪一个是正确的。尽管Kazuar和Sunburst可能有关联,但这种关联的性质仍不清楚。我们认为,重要的是,世界各地的其他研究人员也必须调查这些相似之处,并试图发现有关Kazuar和森伯斯特起源的更多事实。对这个主题的进一步研究对于连接各个点至关重要,” they concluded.

分享这个