Solarwinds在违规调查中追逐多个引线
UNC2452,俄罗斯联系的高级持续威胁(APT)组落后于2020年12月2020年12月的Solarwinds网络攻击,这些攻击针对美国政府机构,可能通过Microsoft Office 365中的零天漏水以及通过妥协的用户凭据来访问Solarwinds的系统,根据用户凭据由Solarwinds Ceo Sudhakar Ramakrishna共享的新智能。
正在进行的攻击调查已经确定,UNC2452在2019年获得了对Solarwinds Orion网络平台的访问。
现在,在一个新的更新中,Ramakrishna表示,调查正在探索一些潜在的理论,了解威胁演员如何进入其环境以及一旦进入他们的内容。
“我们正在追求众多理论,但目前相信最有可能通过第三方漏洞通过第三方应用程序妥协和/或通过第三方漏洞通过妥协,”他说。“
“调查仍在继续,鉴于这些攻击的复杂性和威胁行动者采取的行动来操纵我们的环境并删除其活动的证据,与大量的日志和其他数据相结合进行分析,我们的调查将正在进行至少几个星期,可能是几个月的。“
Ramakrishna表示,调查继续分析来自多个系统和日志的数据,包括其Microsoft Office 365和Azure租户和SolarWinds的安全事件管理器和构建环境平台。它尚未确定初始妥协的确切日期,或用于访问其Office 365环境的特定漏洞。
但是,它发现SolarWinds电子邮件帐户被泄露并用于以编程方式访问业务和技术角色的其他有针对性的员工,以损害进一步的凭据,这使得该组能够访问和利用orion开发环境以插入其恶意代码。
“研究社区调查强调,这些民族国家运营商展示了确定,耐心,极高的运营安全(OPSEC),以及先进的策略,技术和程序(TTPS),”Ramakrishna说。
他们试图通过以下方式覆盖他们的曲目:不同或禁用审计日志,时间戳和其他防御措施;使用后删除文件和程序以避免法医发现;伪造文件名和活动,以模仿合法的应用程序和文件;在激活之前自动化休眠期;并在美国情报机构的管辖范围之外使用服务器。
该组使用的TTP的更多细节可从Solarwinds获得,这也继续采取措施,防止此类事件再次发生 - 在此发布了第二次进展朝着成为“安全的设计”的工作。
在初步袭击披露以来的几周内,它已经出现了许多其他网络安全公司被同一组遭到损害,在某种程度上,美国网络安全和基础设施安全局(CISA),布兰登威尔士的代理主任据说,UNC2452的活动不能再被称为Solarwinds运动。
本周还看到了由TrustWave的威胁研究人员发现的orion平台中的两个关键漏洞的修补,这可能让攻击者通过Solarwinds控制他们的目标。UNC2452不认为这些CVES未被认为是使用的。
下一步
在Solarwinds参议院听证会内