财讯：报道称第二个黑客组织已经瞄准了SolarWinds

本篇文章1191字，读完约3分钟

原标题:据报道，第二个黑客组织瞄准了solarwinds来源: cnbeta.com

据外部媒体zdnet报道，solarwinds供应链攻击后的取证证据逐渐被发掘，安全研究者发现了使用solarwinds软件将恶意软件嵌入企业和政府互联网的第二个威胁行为体。 关于这第二个威胁行为体的细节还很少，但安全研究者认为这与俄罗斯政府支持的怀疑solarwinds入侵的黑客组织无关。 后者在orion应用程序内移植恶意软件。

原始攻击中采用的恶意软件号码是sunburst (或solorigate )，作为orion应用程序的“booby-trapped”(诡雷代码)更新交付给solarwinds客户。 在感染的互联网上，恶意软件ping作者，下载第二个阶段性后门木马teardrop，让攻击者可以操作键盘会话。 所谓的人为操作攻击。

但是，在solarwinds黑客事件公布几天后，第一次报告提到了两个第二阶段的比较有效载荷。 guidepoint、Symantec和palo alto networks的报告详细介绍了攻击者是如何移植名为supernova的. net web shell的。

安全研究者认为攻击者利用supernova webshell下载、编译和执行了恶意的powershell脚本(有人称之为cosmicgale )。 。

但是，微软安全团队的后续分析表明，supernova web shell不是原始攻击链的一部分。 他们发现solarwinds上安装了supernova的公司需要将这件事作为单独的攻击来解决。

根据微软安全分析人员nick carr在github上的副本，supernova webshell似乎种植在安装solarwinds orion上。 这些安装已经暴露在互联网上，利用了作为cve-2019-8917被跟踪的漏洞。

supernova与sunburst+teardrop攻击链相关的混乱与sunburst一样，supernova也是猎户座应用程序的dll--sunburst是Solarwinds.Orion.core.bu

但在12月18日星期五晚些时候发布的分解报告中，微软说与sunburst dll不同，supernova dll没有使用合法的solarwinds数字证书签名。

supernova没有签名这一事实被认为是攻击者极其异常的行为，在此之前攻击者在操作上非常高，表现出对复杂细节的关心。

要做到这一点，在solarwinds的内部网上花了几个月找不到，向orion应用程序添加虚拟缓冲代码以涵盖将来的恶意代码添加，让他们的恶意代码看起来像solarwinds开发人员自己写的一样？

这些好像是明显的错误。 因为第一个攻击者不会这么做。 微软认为这个恶意软件与第一次solarwinds供应链攻击无关。