对SolarWinds漏洞的最新分析表明,该活动背后的攻击者基础设施比最初认为的要大得多。
灾难性的SolarWinds安全事件涉及破坏供应商的网络,后来又将恶意的SolarWinds Orion更新部署到包含名为太阳爆发。
将入侵归咎于国家支持的俄罗斯网络罪犯,APT29/Cozy Bear(活动跟踪为Sunshuttle,现在,RiskIQ的团队Atlas已经确定了另外18台服务器与SolarWinds间谍活动有关,该公司称,这一数字代表着“敌方已知指挥和控制范围增加了56%。
新的C2s是通过绘制部署的第二阶段地图发现的;特别是与钴打击有关的改进信标。虽然这种模式本身并不少见,但研究小组将这些在线数据(包含3000多个结果)与SolarWinds黑客使用的SSL证书进行了关联。
“[这]与SSL模式关联后变得非常独特,”RiskIQ说结果发现了大量额外的恶意服务器。”
RiskIQ补充说,调查结果将“可能导致新发现的目标。”US-CERT在公开披露之前就知道了RiskIQ的调查结果。
上个月,瑞士网络安全公司Prodaft发表了https://www.zdnet.com/article/solarwinds-linked-hacking-group-silverfish-crups-enterprise-victies-in-sandbox-malware-tests/“target=”\u blank“>关于银鱼的报告,这是一个复杂的威胁组织,被认为对超过4年的入侵负责,包括《财富》500强企业在内的700家组织。
SilverFish与SolarWinds攻击事件有关,是众多APT中的“一员”。该组织的数字基础设施还揭示了与TrickBot和WastedLocker活动的潜在联系。
