SolarWinds供應鏈攻擊的後果比最初想像的要糟,最新的受害者Qualys,Fidelis,Palo Alto Networks 和Mimecast證實安裝了SolarWinds Orion應用程式的惡意木馬更新。
NETRESEC的資安專家本周透露,資安供應商Qualys也是SolarWinds事件的受害者。富比士雜誌報導資安公司Netresec的創辦人Erik Hjelmvik的調查結果,詳細描述了SolarWinds背後的駭客將第二階段payloads部署到他們認為價值很高的受感染網路的23個新domains。
這23個新domains中有2個corp.qualys.com,表明Qualys也是攻擊者的目標。
在Qualys在向富比士發表的聲明中,Qualys說入侵沒有看上去那麼大,聲稱其工程師在實驗室環境中安裝了一個木馬化版本的 SolarWinds Orion 應用程式,用於測試目的,與其主要網路分開。Qualys也說,隨後的調查沒有發現任何進一步惡意活動或數據洩露的證據。
然而,一些資安研究員並不認同Qualys的聲明,暗示”corp.qualys.com”的domain表明,駭客確實能存取其主網路,而不是像該公司聲稱的那樣進入實驗室環境。
Fidelis網路安全公司的首席信息安全官Chris Kubic在部落格說,他們也在2020年5月安裝了一個木馬化版本的SolarWinds的 Orion 應用程式,作為軟體評估(software evaluation)。Kubic 說, 儘管攻擊者努力升級他們在Fidelis內部網路的存取許可權,但惡意軟體安裝被追溯到一台配置為測試系統的機器,它與核心網路隔離,並且”很少打開電源”,所以攻擊者無法部署第二階段payloads。但根據NETRESEC的調查,Fidelis的HQ.FIDELIS domain也在受感染網路的23個新domains中。
Mimecast是上述Mimecast是上述資安公司中第一個披露重大資安漏洞的,它透露威脅者破壞了其內部網路,並利用其產品之一使用的數位驗證來存取其某些客戶的Microsoft 365帳戶。
Microsoft 通知Mimecast,他們用於對Microsoft 365 Exchange Web Services的Mimecast同步和恢復,連續性監視器和IEP產品進行身份驗證的憑證已被
入侵破壞。Mimecast表示大約 10% 的客戶使用這種連接,有跡象表明在我們客戶的 M365 租戶中,有少數人成為攻擊的目標。
“我們的調查現已證實,這一事件與 SolarWinds Orion 軟體的有關,並且是由同一組駭客所為。
Mimecast調查還顯示,駭客存取並可能滲透某些由美國和英國託管的客戶創建的加密服務帳戶憑證。
Palo Alto Networks的代表告訴富比士,它發現了2020年9月和2020年10月發生的兩起與SolarWinds相關的事件。據富比士報導,“ Palo Alto說,它自己的工具通過查看其異常行為來檢測到該惡意軟體,因此被阻止了。”。“我們的安全運營中心隨後立即隔離了伺服器,進行了調查並驗證了我們的基礎架構是安全的。此外,我們的SOC將觀察到的活動通知了SolarWinds。我們的SOC進行的調查得出的結論是,嘗試的攻擊未成功,並且沒有數據受到破壞。”
之前有被報導受到SolarWinds供應鏈攻擊影響的其他資安公司包括FireEye(最初揭露了整個 SolarWinds 供應鏈攻擊的初始入侵), Microsoft(入侵者訪問了公司的一些原始程式碼), CrowdStrike(攻擊者入侵失敗)和 Malwarebytes (由SolarWinds攻擊者在另一事件中入侵,訪問了公司的一些電子郵件帳戶)。
深入了解Solorigate(Sunburst)第二階段活動:從SUNBURST到TEARDROP和Raindrop的情資:
https://otx.alienvault.com/pulse/60088b53da5e673bc2825ce8
SolarWinds供應鏈攻擊的有關情資:
https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8
https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc
https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812
https://otx.alienvault.com/pulse/5ffc7929fdeee95e277473b7