Phần mềm độc hại được phát hiện có tên gọi "Sunspot", nó bổ sung vào danh sách các phần mềm độc hại được tiết lộ trước đây như Sunburst và Teardrop.
Sudhakar Ramakrishna, Giám đốc điều hành mới của SolarWinds giải thích: "Đoạn mã rất phức tạp và mới lạ này được thiết kế để đưa mã độc Sunburst vào Nền tảng SolarWinds Orion mà không làm đội ngũ phát triển và xây dựng phần mềm của công ty phát hiện ra".
Trong khi các bằng chứng sơ bộ cho thấy rằng những kẻ đứng đằng sau chiến dịch gián điệp đã cố gắng xâm nhập vào cơ sở hạ tầng ký mã và xây dựng phần mềm của SolarWinds Orion Platform vào tháng 10/2019 để cung cấp cửa hậu Sunburst. Cùng với đó, những phát hiện mới nhất cho thấy mốc thời gian thiết lập vi phạm đầu tiên của mạng SolarWinds vào ngày 4/9/2019. Tất cả đều được thực hiện với mục đích triển khai Sunspot.
Các nhà nghiên cứu của Crowdstrike cho biết: “Sunspot giám sát các tiến trình thực thi của những người tham gia biên soạn sản phẩm Orion và thay thế một trong các tệp nguồn để bao gồm mã cửa hậu Sunburst”. Crowdstrike đang theo dõi vụ xâm nhập này dưới biệt danh "StellarParticle".
Sau khi được cài đặt, phần mềm độc hại ("taskhostsvc.exe") tự cấp đặc quyền gỡ lỗi và thực hiện chiếm quyền điều khiển quy trình xây dựng Orion bằng cách giám sát các quy trình phần mềm đang chạy trên máy chủ và sau đó thay thế tệp mã nguồn trong thư mục bản dựng bằng tệp độc hại, để inject Sunburst trong khi Orion đang được xây dựng.
Các nhà nghiên cứu của Kaspersky cũng phát hiện mối liên hệ tiềm năng giữa Sunburst và Kazuar - một họ phần mềm độc hại có liên quan đến tổ chức gián điệp mạng Turla được cho là hoạt động dưới sự hậu thuẫn của Nga.
Tuy nhiên, Kaspersky đã hạn chế rút ra suy luận từ các điểm tương đồng, thay vào đó họ cho rằng các phần trùng lặp có thể đã được cố tình thêm vào để gây hiểu lầm. Trong khi những điểm tương đồng khác xa so với smoking-gun liên quan đến vụ tấn công vào Nga, các quan chức chính phủ Mỹ tuần trước đã chính thức xác nhận chiến dịch Solorigate đối với những mục tiêu có thể có nguồn gốc từ Nga.
Thanh Bùi ( Theo The Hacker News)
08:00 | 12/01/2021
16:00 | 05/10/2020
07:00 | 04/02/2021
11:00 | 08/02/2021
08:00 | 22/02/2021
16:00 | 17/09/2020
10:00 | 24/02/2021
09:00 | 26/07/2021
08:00 | 23/02/2021
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024