موج دوم حملات SolarWinds

با ادامه تحقیقات در مورد حملات زنجیره SolarWinds ، شواهد جدید دیجیتالی نشان داده است که ممکن است یک عامل تهدیدکننده جدا از نرم افزار Orion سوء استفاده کرده باشد تا Backdor های مشابه را روی سیستم های ارائه دهنده زیرساخت قرار دهد.

روز جمعه تیم تحقیقاتی مایکروسافت ۳۶۵ گفت: “بررسی کل مصالحه SolarWinds منجر به کشف بدافزار دیگری شد که بر محصول SolarWinds Orion نیز تأثیر می گذارد اما مشخص شده است که احتمالاً ارتباطی با این مسئله ندارد و توسط عوامل دیگری برای اهداف تهدید آمیز استفاده می شود.”

این backdor با نام Sunburst شناخته می شود و “Supernova” باعث ایجاد این بدافزار تازه افشا شده ، می شود که آسیب پذیری Sunburst برخلاف آسیب پذیری اولیه که با نام Supernova شناخته می شود است زیرا (“app_web_logoimagehandler.ashx.b6031896.dll”) با گواهینامه دیجیتال SolarWinds امضا نشده است ، و این نشان می دهد که آسیب پذیری ارتباطی با حملات زنجیره ای که قبلاً اتفاق افتاده بود، ندارد.

نحوه عملکرد Backdoor Sunburst

این کشف نشانه دیگر از سودآور بودن این چنین مشکلات برای هکر ها و سودجویان است، حملات زنجیره ای SolarWinds – که شامل ۱۸۰۰۰ شرکت و سازمان دولتی می شود، با دامنه بسیار گسترده تر و پیچیدگی فوق العاده با عنوان Backdoor Sunburst اجرا شده است.

دشمنان با استفاده از نرم افزار مدیریت شبکه SolarWinds Orion که از ماه مارس تا ژوئن سال جاری توزیع شده است ، از بستر حملات قبلی استفاده می کنند تا کد مخربی را در یک پرونده DLL (با نام جعلی Sunburst یا Solorigate) بر روی سرورهای این اهداف قرار دهند که قادر به جمع آوری اطلاعات مهم ، اجرای دستورات از راه دور است.

همچنین تجزیه و تحلیل روش عملیاتی Solorigate نشان داد که این کمپین تصمیم به سرقت اطلاعات فقط از بین چند هزار قربانی گرفته است ، و قصد دارد حملات خود را بر اساس اطلاعات جمع شده در هنگام شناسایی اولیه محیط هدف برای حساب ها و دارایی های با ارزش بالا اجرا کند.

Cisco ، VMware و Deloitte هم از SolarWinds در امان نمانده اند

شرکت های امنیت سایبری کسپرسکی و سیمانتک گفته اند که ۱۰۰ مشتری را شناسایی کرده اند که بسته trojanized حاوی درب پشتی Sunburst را بارگیری کرده اند ، و این در حالی است که تعداد کمی از این شرکت ها موفق به کشف پرونده های Teardrop شده اند.

در حال حاضر تعداد مشخص قربانیان این backdor ناشناخته است، اما از اوایل ماه جاری زمانی که شرکت امنیت سایبری FireEye اعلام آلوده شدن از طریق نرم افزار SolarWinds کرد ، آمار شرکت های آسیب دیده به طور مداوم افزایش یافته است. تاکنون چندین آژانس دولتی و شرکت های خصوصی ایالات متحده از جمله Microsoft ، Cisco ، Equifax ، General Electric ، Intel ، NVIDIA ، Deloitte و VMware گزارش کرده اند که بدافزار را در سرورهای خود پیدا کرده اند.

  • Active Directory Pentesting Full Course – Red Team Hacking

Active Directory Pentesting Full Course – Red Team Hacking

Active Directory Pentesting Full Course – Red Team Hacking   اکثر شبکه های امروزی از سرویس اکتیو دایرکتوری برای مدیریت اکانتینگشبکه استفاده میکنند . در واقع سرویس AD برای مدیریت لاگین و دسترسی [...]