Бесплатно Экспресс-аудит сайта:

18.12.2020

Использовавшийся в атаке на SolarWinds домен превращен в выключатель для бэкдора

Эксперты в области безопасности захватили контроль над ключевым вредоносным доменом, использовавшимся для управления тысячами компьютеров, скомпрометированных в результате взлома производителя ПО SolarWinds, и превратили его в «выключатель» для бэкдора.

Напомним , на прошлой неделе техасский производитель программного обеспечения SolarWinds сообщил, что киберпреступники скомпрометировали его серверы и внедрили вредоносное ПО в обновления для платформы Orion. В результате инцидента скомпрометированными оказались сети организаций, использующих данную платформу, в том числе ИБ-компании FireEye , Министерства финансов США , Министерства внутренней безопасности США .

Как сообщалось ранее, Microsoft удалось захватить контроль над ключевым доменом GoDaddy (avsvmcloud[.]com), использовавшимся хакерами для связи со скомпрометированными системами. Теперь же компания FireEye сообщила, что захват домена стал результатом совместных усилий FireEye, GoDaddy и Microsoft.

«SUNBURST – вредоносное ПО, распространявшееся через программное обеспечение SolarWinds. В ходе анализа SUNBURST мы обнаружили киллсвитч, способный предотвратить дальнейшие операции SUNBURST», – сообщили в FireEye журналисту Брайану Кребсу.

Согласно сообщению компании, в зависимости от IP-адреса, возвращаемого после разрешения вредоносным ПО домена avsvmcloud[.]com, при определенных условиях вредоносное ПО уничтожит само себя и не будет выполняться.

«Этот киллсвитч затронет новые и предыдущие заражения SUNBURST путем деактивации развертываний SUNBURST, который до сих пор сигнализирует avsvmcloud[.]com. Однако в наблюдаемых FireEye проникновениях злоумышленник быстро передвигается и устанавливает дополнительные механизмы персистентности для доступа к сетям жертв за пределами бэкдора SUNBURST. Киллсвитч не удалит злоумышленника из сетей жертв, где он установил дополнительные бэкдоры. Тем не менее, он усложнит злоумышленнику возможность использовать ранее развернутые версии SUNBURST», – сообщили в FireEye.

Учитывая имеющиеся у Microsoft, FireEye и GoDaddy данные и контроль над вредоносным доменом, можно предположить, что у них есть представление о том, какие организации все еще уязвимы к SUNBURST.