今曝出中國駭客利用SolarWinds漏洞監視美國聯邦發薪機構,攻進了美政府系統

據路透社報導,聯邦調查局發現,隸屬於美國農業部 (USDA) 的聯邦發薪機構國家財務中心 (National Finance Center) 是受SolarWinds事件影響的政府機構之一,報導說中國駭客利用了SolarWinds Corp去年製造的軟體中存在的漏洞來入侵美國政府的電腦。

自1973年以來,美國國家財務中心(NFC)為大約170個聯邦機構和65萬名聯邦僱員提供了人力資源和薪資服務,令人憂慮數以萬計的政府員工數據可能已被盜。

美國農業部確認數據外洩

據報導,用來入侵NFC系統的漏洞與可疑的俄羅斯國家級駭客用來破壞Orion軟體的更新機制以將Sunburst後門部署到SolarWinds客戶系統上的漏洞不同。這起由疑似中國的駭客集團,利用軟體漏洞展開的行動,則是另一起攻擊事件。儘管FBI和美國農業部(USDA)均拒絕提供進一步評論,但後者證實遭受了數據洩露。

農業部發言人在一封電子郵件中說:“美國農業部已通知所有客戶(其個人和組織)其數據已受到SolarWinds Orion Code Compromise的影響。”

在《路透社》報道後, 農業部再發聲明表示,國家財務中心未有被入侵,且無與 SolarWinds 相關的資料數據外洩,但未有作進一步解釋。

據路透社消息人士稱,由於駭客使用的電腦基礎設施和工具與先前由中國政府支持的網路間諜相同,美國農業部機構駭攻背後的威脅者被懷疑是中國國家級的駭客組織的一部分,並認為攻擊者是在中國。

另外,確認在SolarWinds供應鏈攻擊中受到打擊的美國政府機構名單包括:

美國財政部

美國國家電信和信息管理局(NTIA)

美國國務院

美國國立衛生研究院(NIH)(美國衛生部的一部分)

美國國土安全部(DHS)

美國能源部(DOE)

美國國家核安全局(NNSA)

Microsoft 詳述了 SolarWinds 事件的駭客,如何透過OpSec 和反鑑識技巧的最佳實踐,以避免被發現和檢測。

微軟今天分享了有關SolarWinds駭客,如何透過將其惡意活動隱藏在受攻擊公司的網路內而不被發現的相關詳細資訊。

微軟安全分析師的研究表明,SolarWinds的背後駭客至少經過兩週的精心選定目標,並內置獨特的Cobalt Strike網路滲透工具,對每一個受害者系統的進行一個月左右的攻擊。

微軟的報告分享了有關Solorigate(又名Sunburst)第二階段啟動的新細節-在植入Solorigate(Sunburst)的DLL後門之後,部署並植入自定義Cobalt Strike loader(Teardrop,Raindrop等)的步驟和工具。

微軟並重點介紹了SolarWinds供應鏈的背後駭客逃避策略:

*透過為每台電腦上部署不同的客製化Cobalt Strike DLL植入程式,以有條不紊地避免每個受感染主機的IOC被分享而攔阻

*透過重新命名工具和二進位檔案偽裝並融入環境,以避免受感染的設備上的檔案和應用程式被透過特徵比對偵測。,

*在使用鍵盤操作之前透過AUDITPOL停用事件日誌記錄,事後再啟用

*在開始進行網路活動之前, 會為某些通訊協定建立防火牆規則, 以減少對外的連線封包 (在完成工作後即被移除)

*首先在目標主機上禁用安全服務,再仔細計劃橫向移動

* 同時也被認為使用時間管理程式來更改物件的時間戳記,並利用移除程式和工具來避免在受影響的環境中被惡意程式偵測機制發現。

供應鏈攻擊時程

Solorigate持續攻擊的時程

                                                       

這些攻擊的詳細時間顯示,Solorigate (Sunburst) DLL後門已於2月部署,並在3月下旬部署在受感染的網路中。在此階段之後,威脅行動者選擇了感興趣的目標並準備了將植入的特製 Cobalt Strike,直到5月初開始動手攻擊。

“ 6月時,SolarWinds就從二進製檔案中刪除了後門生成功能並發佈並發修補程式,這指出攻擊者已經蒐集到足夠數量的目標,其目標從部署和啟動後門(階段1)轉移到操作已被選定的受害者網路,然後再通過鍵盤操作繼續植入Cobalt Strike,進行攻擊(階段2)。”

深入了解Solorigate(Sunburst)第二階段活動:從SUNBURST到TEARDROP和Raindrop的情資:

https://otx.alienvault.com/pulse/60088b53da5e673bc2825ce8

Source: 

https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/

資安廠商Malwarebytes遭駭,幕後黑手同為入侵SolarWinds供應鏈的駭客組織,Malwarebytes稱它們並沒使用SolarWinds產品,另在SolarWinds供應鏈攻擊中發現第四種新的惡意軟體Raindrop的出現!

Key Points:

*Malwarebytes揭露遭攻擊SolarWinds供應鏈的同一駭客組織入侵

*Malwarebytes表示入侵與SolarWinds供應鏈無關,因為該其公司內網未使用任何SolarWinds軟體。

*SolarWinds供應鏈事件中發現了第四種惡意軟體變種Raindrop

*目前僅有四件 Raindrop 樣本,專家發現它跟另一款惡意軟體Teardrop 分工

反惡意軟體資安廠商Malwarebytes在其周二的blog文章中,證實遭SolarWinds供應鏈攻擊的駭客組織入侵,入侵不是通過SolarWinds的IT軟體發生的,相反,攻擊者利用了其公司Office 365和Microsoft Azure的帳戶作為切入點。

駭客通過Microsoft的Azure Active Directory入侵,公司可用於確保員工訪問公司 IT 系統。在12月15日(即SolarWinds駭客事件公開後的第二天),Microsoft告訴Malwarebytes,它注意到了來自Malwarebytes的Office 365系統內第三方應用程式的可疑活動並利用了Malwarebytes安裝在Office 365租戶中的一個休眠的電子郵件保護產品。

Malwarebytes表示“在特定的情況下,威脅參與者將帶有憑證的自簽名證書添加到服務主體帳戶。從那裡,他們可以使用密鑰進行身份驗證並進行呼叫API,以透過MSGraph(Microsoft Graph)請求電子郵件。

Malwarebytes聯合創始人兼CEO, Marcin Kleczynski今天說: “經過全面廣泛的調查,我們確定攻擊者僅能訪問公司內部電子郵件的一部分。我們的內部系統沒有任何證據表明在任何就地部署和生產環境中都有未經授權的存取或損害,且我們的軟體仍然可以安全使用。"

另外,在SolarWinds供應鏈攻擊中,Symantec資安人員發現第四種新的惡意體Raindrop,並表示Raindrop與Teardrop惡意軟體類似,在很少數的入侵攻擊中被用作第二階段payload,目前為止僅發現了4個樣本。研究人員已將Raindrop認定為用於滲透後(post-compromise)活動的攻擊工具。根據賽門鐵克分析師的說法,這是一種後門安裝了Cobalt Strike,以幫助攻擊者更有效地通過受害者網路橫向移動攻擊。Raindrop似乎已被用來在受害者的網路中傳播。目前賽門鐵克尚未發現Sunburst直接分發Raindrop的證據。取而代之的是,它出現在已被Sunburst破壞的電腦網路上。

雖然Raindrop與Teardrop類似,但是Symantec表示他們使用不同的 packers,並且Cobalt Strike配置有所不同。在一個Raindrop的實例中,Cobalt Strike被配置為使用SMB命名管道作為通信協議,而不是HTTPS,這使專家們認為,受損的設備無法直接存取網路,迫使攻擊者透過網路上的另一台電腦路由 C&C 連線。在目前Symantec僅發現有四件 Raindrop 樣本,並相信Raindrop 跟Teardrop 分工合作散佈Cobalt Strike。

Raindrop受害者的時間線

有關Raindrop的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/6007149a5ff246c7c18229c1

SolarWinds供應鏈攻擊的後遺症,駭客設網站高調出售來自Microsoft,Cisco, FireEye和SolarWinds的原始碼。

solarleaks網站

駭客建立了一個全新的網站solarleaks.net,公開出售在SolarWinds供應鏈攻擊中竊取得來的原始碼。網站所有者聲稱他們是入侵SolarWinds的駭客組織,並正在拍賣從Microsoft,Cisco,SolarWinds和FireEye竊取到的原始碼,眾所周知,所有這些公司都在供應鏈攻擊中遭到入侵。據了解SolarLeaks網站所有者在模仿Shadow Brokers的方式,聲稱將分批出售盜來的數據,並將在以後發布更多資料。

Solarleaks.net網域名只有1天的歷史,在2021年1月11日註冊,並使用瑞典的隱私託管服務商Njalla來註冊。Njalla是APT駭客組織Fancy Bear和Cozy Bear的首選註冊商。僅此一項就已經表明,該網站背後的人們至少對俄羅斯作案手法(Modus operandi)是有所了解的。當然,這也可能是一個騙局(Scam)。

目前尚不清楚Solarleaks網站販售的數據的真實性,但相信由於Infosec的目光都在看著這事件的發展,值得我們持續關注。

目前Solarleaks網站以60萬美元的價格出售Microsoft原始碼和存儲庫,以50萬美元價格出售Cicso原始碼和內部的bugtracker dump, 以50萬美元價格出售Fireye的紅隊工具原始碼,和以25萬美元的價格出售SolarWinds原始碼和客戶的portal dump。

該網站說,只要花費100萬美元,就可以獲得所有洩露的數據!

SolarWinds供應鏈攻擊的有關情資:

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

https://otx.alienvault.com/pulse/5ffc7929fdeee95e277473b7

https://otx.alienvault.com/pulse/5ffccc003adfeeafe1d401a8

https://otx.alienvault.com/pulse/5fdce61ef056eff2ce0a90de

美國聯邦調查局(FBI),美國網路安全和基礎設施安全局(CISA),國家情報總監辦公室(ODNI)和國家安全局(NSA)發布聯合聲明,美國政府將SolarWinds的供應鏈攻擊正式歸咎於俄羅斯。

包括FBI,CISA,ODNI和NSA在內,這四個機構都是網路統一協調小組(Cyber Unified Coordination Group)的成員,該小組是由白宮國家安全委員會成立的聯合工作組,負責調查和處理SolarWinds攻擊的後果。今天(1月5日)發表了一份聯合聲明,正式指控俄羅斯政府策劃了SolarWinds供應鏈攻擊。聯合聲明將此次攻擊描述為“起源可能是俄羅斯”和“情報蒐集”。

據國外媒體報導,聯合聲明半證實了上個月《華盛頓郵報》的一份報導,該報導將SolarWinds供應鏈攻擊與歸咎於APT29, APT29是俄羅斯外國情報服務(Russian Foreign Intelligence Service)相關駭客的代號。

網路統一協調小組說:“國家級駭客組織可能來自俄羅斯,是危害政府網路和非政府網路的大部分或全部原因。” 該聲明還正式將SolarWinds背後駭客活動描述為“情報蒐集”。我們正在採取一切必要步驟來了解這項活動的全部範圍,並做出相應的回應。”

UCG在FBI,CISA,ODNI和NSA的聯合聲明中還補充說,在最初的入侵事件發生後, 只有10個美國政府機構受到其他駭客活動的攻擊。

聲明說:“ UCG相信,使用Solar Winds Orion產品的大約18,000名受影響的公共和私營部門客戶中,只很少一部分受到其系統後續活動的損害。”

“到目前為止,我們在少於十個美國政府機構的網路上發現了惡意軟體活動,正在努力識別並通知也可能受到影響的非政府實體。” 並強調網路攻擊活動仍然持續,警告駭客對美國構成的威脅尚未結束,UCG補充說:“這是一個嚴重的入侵,需要持續不懈的補救。”

上個月《華盛頓郵報》報導後不久,俄羅斯官員對報導的發現提出了質疑。今俄羅斯官員尚未正式回應今天的FBI-CISA-ODNI-NSA聯合聲明。

SolarWinds供應鏈攻擊的有關情資:

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812