FireEye、微軟與 GoDaddy 合力對抗 SolarWinds 後門攻擊

為對抗近來造成嚴重衝擊的 SolarWinds 後門攻擊行動「Sunburst」,FireEye、微軟與 GoDaddy 共同成立聯合行動組織,依各公司的不同專長,一同對抗該攻擊行動,避免其惡意軟體持續蔓延。

據專業資安媒體 BleepingComputer 報導指出,FireEye 在日前公布了一份關於 Sunburst 攻擊行動的分析報告,報告中明確列出 Sunburst 如何利用供應鏈攻擊手法進行惡意軟體的植入,以及其後門的運作方式;報告並指出 Sunburst 成立了一台控制伺服器,用以接受駭侵團體的指令,並控制受到木馬植入的受害設備。

該報告同時也列出了多個 IP 位址,一旦控制伺服器發現有來自這些 IP 的回傳資訊,就會立即停止來自這批 IP 裝置中惡意軟體的運作。

在 12 月 15 日,在域名商 GoDaddy 的協助下,該控制伺服器使用的網域名稱控制權被微軟取得,同時將其對應 IP 轉移到微軟控制的 IP;這使得微軟得以掌握控制伺服器與惡意軟體間的通訊,並且進行進一步的分析,同時阻止該惡意軟體的進一步感染。

不過 FireEye 也表示,此波攻擊行動幕後的 APT 駭侵團體 Cozy Bear,也很快針對防制行動做出因應,正在積極建置新的攻擊網路基礎建設,以繼續控制遭到植入木馬的受害系統。

相關連結

  1. TWCERT/CC
  2. Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims
  3. Malicious Domain in SolarWinds Hack Turned into ‘Killswitch’
  4. FireEye, Microsoft create kill switch for SolarWinds backdoor

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Scroll to Top