Solarwinds在违规调查中追逐多个引线
BT连接荷兰外交官
对监控摄像机的攻击警告安全性,道德规范
澳大利亚公司慢慢地关闭大型机
在5G核心网络切片设计中检测到“主要”安全漏洞
福特使Google更优先的云合作伙伴进行下一代连接的汽车推送
新加坡航空公司供应链攻击最新受害者
GDS寻求Identity保障计划的董事
狩猎和反狩猎团体锁定在山顶上的数据收集
多枢轴产品线到遥控工作
Agent Tesla Trojan发现了潜行过去防御的新方法
O2,三,沃达丰团队加强农村移动覆盖
戴尔在新加坡创新中心投资50米
NSA无法更多MS交换漏洞
故障签署与工会工人的集体谈判协议
NetBackup 9增加了具有超融合备份选项的灵活性
IFS升起单平台云交付,因为它出价ERP Adieu
朝鲜国家攻击合法的安全研究人员
诺基亚加速了使用5G核心技术的Teleenet Cloud Services
在ISS上的HPE:在太空中,没有人可以听到你的CPU球迷
Singtel落在供应链攻击时
HMRC标志重新制作,三年的公共云交易AWS价值940万英镑
随着IT领导者寻找边缘,延迟高于速度
在政府更新的教育计划中易于访问的数字技能培训
IR35改革:HMRC否认了“崭露头角”的数据集,这些数据集可以摆脱盗贼球员的伞部门
MAS提供有关减轻供应链威胁的指导
OpenReach选择STL作为全纤维填充的战略合作伙伴
欧盟设定为倾斜AI平衡,支持公民权利
社区纤维为弱势伦敦家庭提供免费50Mbps宽带
转移到利用谷歌灵感的技术能力
BT报告说,他们的组织隐形了Cisos
苏格兰联盟推出了新的计划来提高4G,5G连接
银行BJB Syariah Taps Devops
Logmein刷新GotoConnect以支持永久转换到灵活的工作
培养软件开发人员英雄
太少的英国组织为遥远的工作提供网络培训
英国政府审查获得数码基础设施土地的法律
沃达丰英国将Digitalk添加到MVNO POSTFOLIO
金融服务巨头形成欧盟集中联盟,为促进部门的公共云采用步伐
备份调查:英国委员会的停机时间比平均水平更长五倍
NHSX设置为成为新NHS英国“转型局”的一部分
诺基亚赢得了与A1奥地利的多年5G收音机和核心合同
NEC宣布MMWAVE 5G CPE的3X MIMO容量增益
HMRC淡化CEO电子邮件的重要性贷款政策的法律依据
VMware简化混合云部署
Facebook Ducks要求在巨大的数据泄漏方面道歉
欧洲IT提供者难以利用云需求的大陆增长
微软是网络钓鱼尝试中最模仿的品牌
Ovhcloud Datacentre Fire:正在进行的努力使受影响的云客户返回在线
Verizon Business,思科扩大了SD-WAN托管服务
您的位置:首页 >科技 > 通信技术 >

Solarwinds在违规调查中追逐多个引线

2021-09-18 09:44:01 [来源]:

UNC2452,俄罗斯联系的高级持续威胁(APT)组落后于2020年12月2020年12月的Solarwinds网络攻击,这些攻击针对美国政府机构,可能通过Microsoft Office 365中的零天漏水以及通过妥协的用户凭据来访问Solarwinds的系统,根据用户凭据由Solarwinds Ceo Sudhakar Ramakrishna共享的新智能。

正在进行的攻击调查已经确定,UNC2452在2019年获得了对Solarwinds Orion网络平台的访问。

现在,在一个新的更新中,Ramakrishna表示,调查正在探索一些潜在的理论,了解威胁演员如何进入其环境以及一旦进入他们的内容。

“我们正在追求众多理论,但目前相信最有可能通过第三方漏洞通过第三方应用程序妥协和/或通过第三方漏洞通过妥协,”他说。“

“调查仍在继续,鉴于这些攻击的复杂性和威胁行动者采取的行动来操纵我们的环境并删除其活动的证据,与大量的日志和其他数据相结合进行分析,我们的调查将正在进行至少几个星期,可能是几个月的。“

Ramakrishna表示,调查继续分析来自多个系统和日志的数据,包括其Microsoft Office 365和Azure租户和SolarWinds的安全事件管理器和构建环境平台。它尚未确定初始妥协的确切日期,或用于访问其Office 365环境的特定漏洞。

但是,它发现SolarWinds电子邮件帐户被泄露并用于以编程方式访问业务和技术角色的其他有针对性的员工,以损害进一步的凭据,这使得该组能够访问和利用orion开发环境以插入其恶意代码。

“研究社区调查强调,这些民族国家运营商展示了确定,耐心,极高的运营安全(OPSEC),以及先进的策略,技术和程序(TTPS),”Ramakrishna说。

他们试图通过以下方式覆盖他们的曲目:不同或禁用审计日志,时间戳和其他防御措施;使用后删除文件和程序以避免法医发现;伪造文件名和活动,以模仿合法的应用程序和文件;在激活之前自动化休眠期;并在美国情报机构的管辖范围之外使用服务器。

该组使用的TTP的更多细节可从Solarwinds获得,这也继续采取措施,防止此类事件再次发生 - 在此发布了第二次进展朝着成为“安全的设计”的工作。

在初步袭击披露以来的几周内,它已经出现了许多其他网络安全公司被同一组遭到损害,在某种程度上,美国网络安全和基础设施安全局(CISA),布兰登威尔士的代理主任据说,UNC2452的活动不能再被称为Solarwinds运动。

本周还看到了由TrustWave的威胁研究人员发现的orion平台中的两个关键漏洞的修补,这可能让攻击者通过Solarwinds控制他们的目标。UNC2452不认为这些CVES未被认为是使用的。

下一步

在Solarwinds参议院听证会内

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。