上周末，我們進(jìn)一步了解了這起復(fù)雜的襲擊事件，這起襲擊危及了安全公司fireye、美國(guó)財(cái)政部和商務(wù)部，可能還有更多的潛在的受害者。

攻擊者入侵了IT公司SolarWinds，利用其軟件渠道向該公司的18000個(gè)Orion平臺(tái)客戶發(fā)布惡意更新。這種情況被稱為供應(yīng)鏈攻擊，因?yàn)樗蕾囉谝呀?jīng)被信任并且可以立即廣泛發(fā)布的軟件，因此基本上是最隱蔽和最難檢測(cè)的。

[[358942]]

美國(guó)國(guó)土安全部發(fā)布了一項(xiàng)緊急指令，要求所有聯(lián)邦機(jī)構(gòu)立即采取措施，將受影響的SolarWinds Orion產(chǎn)品下線，并在周一之前將所有相關(guān)信息上報(bào)。

我們知道，盡管此事件有助于揭露這個(gè)具有深遠(yuǎn)影響的高級(jí)攻擊，但與安全公司FireEye竊取的攻擊性工具相比，攻擊者希望獲得的是更多有價(jià)值的東西。由于這個(gè)攻擊活動(dòng)仍在繼續(xù)發(fā)展，我們將隨時(shí)向客戶通報(bào)任何新進(jìn)展。

呼吁采取行動(dòng)

• 立即隔離運(yùn)行2020年3月至2020年6月發(fā)布的運(yùn)行Orion平臺(tái)版本HF 5 2019.4至2020.2.1的所有系統(tǒng)。
• 使用Malwarebytes掃描您的電腦，看看是否有任何檢測(cè)到的東西，尤其是Backdoor.Sunburst和Backdoor.WebShell。
• 使用此博客結(jié)尾處的IOC，在日志、遙測(cè)和其他SIEM數(shù)據(jù)中進(jìn)行搜索，以提供時(shí)間線透視圖來分析任何潛在的入侵。 執(zhí)行全面的安全掃描，以檢查和強(qiáng)化您的物理和云基礎(chǔ)架構(gòu)。
• 如果您已經(jīng)充分做到了前面幾點(diǎn)，請(qǐng)升級(jí)到Orion Platform版本2020.2.1 HF 2并還原系統(tǒng)。

更多內(nèi)容

• SolarWinds：SolarWinds安全咨詢
• FireEye：高度逃避的攻擊者通過SUNWINRST后門利用SolarWinds供應(yīng)鏈來攻擊多個(gè)全球范圍內(nèi)的受害者
• 微軟：最近關(guān)于網(wǎng)絡(luò)攻擊的客戶指南
• 風(fēng)險(xiǎn)：Dark Halo利用SolarWinds破壞組織
• CISA：政府機(jī)構(gòu)，關(guān)鍵基礎(chǔ)設(shè)施和私營(yíng)部門組織的高級(jí)持續(xù)威脅折衷方案

本文翻譯自：

https://blog.malwarebytes.com/threat-analysis/2020/12/advanced-cyber-attack-hits-private-and-public-sector-via-supply-chain-software-update/