Бесплатно Экспресс-аудит сайта:

17.12.2020

SolarWinds выпустил второе исправление для бэкдора в платформе Orion

Производитель сервисов для мониторинга сети SolarWinds официально выпустил второе «горячее» исправление для уязвимости в своей платформе Orion, которой воспользовались хакеры для внедрения вредоносного ПО в рамках масштабной кибершпионской операции.

В своем уведомлении безопасности SolarWinds настоятельно рекомендует пользователям Orion как можно скорее обновить платформу до версии 2020.2.1 HF 2.

Напомним, финансируемая правительством неизвестной страны киберпреступная группировка взломала сети SolarWinds и внедрила вредоносное ПО SUNBURST (также известное как Solorigate) в обновления для платформы Orion (в версии от 2019.4 до 2020.2.1, выпущенные в марте-июне 2020 года).

Производитель изучил и другие версии Orion, но не обнаружил никаких следов бэкдора.

«Мы просканировали код всех наших программных продуктов на предмет маркеров, подобных тем, что использовались в атаке на нашу платформу Orion, […] и не обнаружили никаких свидетельств того, что другие версии платформы Orion или другие наши продукты и агенты содержат эти маркеры», - сообщается в уведомлении SolarWinds.

Хотя подробности о том, как злоумышленники взломали сети SolarWinds, не раскрываются, известно, что Microsoft совместно с другими компаниями удалось захватить контроль над ключевыми доменами GoDaddy (avsvmcloud[.]com), использовавшимися хакерами для связи со скомпрометированными системами. Изучив захваченные домены, специалисты смогут идентифицировать всех пострадавших и заблокировать злоумышленникам возможность дальнейшего проникновения в скомпрометированные сети.

Попав на систему, SUNBURST никак не проявлял себя в течение 12-14 дней, а затем устанавливал связь с поддоменом avsvmcloud[.]com. По данным ИБ-компании FireEye, C&C-домен отправлял DNS-ответ, содержащий поле CNAME с информацией о другом домене, откуда вредонос получал дальнейшие инструкции и дополнительную полезную нагрузку для выполнения в скомпрометированной корпоративной сети.

По словам Microsoft, с 15 декабря она начала блокировать вредоносные файлы SolarWinds.