بکار گیری از بدافزار SUNSPOT برای تزریق ‌‌درب پشتی در SolarWinds

با ادامه تحقیقات در مورد حملات زنجیره ای SolarWinds ، محققان امنیت سایبری سومین نوع بدافزار را فاش کردند که در محیط های اجرایی برای تزریق درب پشتی به سیستم نظارت بر شبکه Orion شرکت SolarWinds مستقر شده بود. این ابزار بدخیم که “Sunspot” نامیده می شود ، به لیست فزاینده ای از نرم افزارهای مخرب که قبلاً فاش شده اند مانند Sunburst و Teardrop اضافه می شود.

مدیر عامل جدید SolarWinds ، سوداکار راماکریشنا (Sudhakar Ramakrishna) توضیح داد: “مشخص است که این کد بسیار پیچیده و مخرب به هدف تزریق کد مخرب Sunburst به سیستم SolarWinds Orion بدون ایجاد نشانه ساخته شده است.”

در حالی که شواهد اولیه نشان داد که در اوایل سال ۲۰۱۹ عوامل پشت پرده پرونده جاسوسی موفق به ایجاد سازه نرم افزاری و زیرساخت پلت فرم SolarWinds Orion برای آزمایش درب پشت Sunburst شدند ، آخرین یافته ها طبق جدول زمانی نشان می دهد که در ۴ سپتامبر ۲۰۱۹ اولین نقض شبکه SolarWinds مشخص شد که هدف از تمامی این کار ها استقرار Sunspot بوده است.

محققان Crowdstrike در تحلیل روز دوشنبه گفتند: “Sunspot فرایندهای در حال اجرا را برای افرادی که وظیفه جمع آوری محصول Orion را به عهده دارند نظارت می کند و یکی از پرونده های منبع را جایگزین می کند تا کد Backdoor Sunburst را در آن تزریق کند.”

پس از نصب ، بدافزار با نام (“taskhostsvc.exe”) به خود اجازه خطایابی می دهد و وظیفه خود را برای ربودن جریان کار سیستم Orion با نظارت بر اجرای فرایندهای نرم افزاری بر روی سرور تعیین می کند و

با تغییر فایل های اصلی با جایگزین اطلاعات را به مقاصد مشخص شده می فرستد.

Telegram
  • SolarWinds

احتمالات وجود رخنه ای دیگر در SolarWinds

موج دوم حملات SolarWinds با ادامه تحقیقات در مورد حملات زنجیره SolarWinds ، شواهد جدید دیجیتالی نشان داده است که ممکن است یک عامل تهدیدکننده جدا از نرم افزار Orion سوء استفاده کرده [...]