Phần mềm độc hại được phát hiện có tên gọi "Sunspot", nó bổ sung vào danh sách các phần mềm độc hại được tiết lộ trước đây như Sunburst và Teardrop.
Sudhakar Ramakrishna, Giám đốc điều hành mới của SolarWinds giải thích: "Đoạn mã rất phức tạp và mới lạ này được thiết kế để đưa mã độc Sunburst vào Nền tảng SolarWinds Orion mà không làm đội ngũ phát triển và xây dựng phần mềm của công ty phát hiện ra".
Trong khi các bằng chứng sơ bộ cho thấy rằng những kẻ đứng đằng sau chiến dịch gián điệp đã cố gắng xâm nhập vào cơ sở hạ tầng ký mã và xây dựng phần mềm của SolarWinds Orion Platform vào tháng 10/2019 để cung cấp cửa hậu Sunburst. Cùng với đó, những phát hiện mới nhất cho thấy mốc thời gian thiết lập vi phạm đầu tiên của mạng SolarWinds vào ngày 4/9/2019. Tất cả đều được thực hiện với mục đích triển khai Sunspot.
Các nhà nghiên cứu của Crowdstrike cho biết: “Sunspot giám sát các tiến trình thực thi của những người tham gia biên soạn sản phẩm Orion và thay thế một trong các tệp nguồn để bao gồm mã cửa hậu Sunburst”. Crowdstrike đang theo dõi vụ xâm nhập này dưới biệt danh "StellarParticle".
Sau khi được cài đặt, phần mềm độc hại ("taskhostsvc.exe") tự cấp đặc quyền gỡ lỗi và thực hiện chiếm quyền điều khiển quy trình xây dựng Orion bằng cách giám sát các quy trình phần mềm đang chạy trên máy chủ và sau đó thay thế tệp mã nguồn trong thư mục bản dựng bằng tệp độc hại, để inject Sunburst trong khi Orion đang được xây dựng.
Các nhà nghiên cứu của Kaspersky cũng phát hiện mối liên hệ tiềm năng giữa Sunburst và Kazuar - một họ phần mềm độc hại có liên quan đến tổ chức gián điệp mạng Turla được cho là hoạt động dưới sự hậu thuẫn của Nga.
Tuy nhiên, Kaspersky đã hạn chế rút ra suy luận từ các điểm tương đồng, thay vào đó họ cho rằng các phần trùng lặp có thể đã được cố tình thêm vào để gây hiểu lầm. Trong khi những điểm tương đồng khác xa so với smoking-gun liên quan đến vụ tấn công vào Nga, các quan chức chính phủ Mỹ tuần trước đã chính thức xác nhận chiến dịch Solorigate đối với những mục tiêu có thể có nguồn gốc từ Nga.
Thanh Bùi ( Theo The Hacker News)
08:00 | 12/01/2021
16:00 | 05/10/2020
07:00 | 04/02/2021
11:00 | 08/02/2021
08:00 | 22/02/2021
16:00 | 17/09/2020
10:00 | 24/02/2021
09:00 | 26/07/2021
08:00 | 23/02/2021
15:00 | 18/08/2021
Trung tuần tháng 8/2021, trên diễn đàn Raidforums, tài khoản có tên xiaolin1983 đã đăng bán dữ liệu của hơn 300.000 sinh viên được cho là của 10 trường đại học tại Việt Nam. Những hồ sơ này bao gồm rất nhiều dữ liệu nhạy cảm như họ tên, địa chỉ, số điện thoại, tài khoản ngân hàng, hình ảnh chứng minh nhân dân của nạn nhân...
15:00 | 23/07/2021
Nhiều chính phủ trên khắp thế giới đang phải đối mặt với cáo buộc rằng họ đã dùng một phần mềm độc hại do Israel sản xuất để theo dõi điện thoại của các nhà báo, nhà hoạt động, giám đốc điều hành công ty và chính trị gia.
15:00 | 06/07/2021
Các nhà nghiên cứu an ninh mạng đã công bố những lỗ hổng quan trọng trong nền tảng phát triển dự án và phần mềm Atlassian, có thể bị lợi dụng để chiếm tài khoản và kiểm soát một số ứng dụng được kết nối thông qua chức năng đăng nhập một lần (SSO).
08:00 | 28/06/2021
Lỗ hổng Instagram mới cho phép bất kỳ ai cũng có thể xem nội dung các bài viết và story được đăng bởi các tài khoản riêng tư mà không cần phải theo dõi tài khoản đó.
11:00 | 29/08/2021 | Giải pháp khác
10:00 | 27/08/2021 | GP ATM
10:00 | 25/08/2021|An toàn thông tin
08:00 | 25/08/2021|CA CQNN
08:00 | 24/08/2021|Mật mã dân sự
10:00 | 15/08/2021|Mật mã dân sự
07:00 | 06/08/2021|An toàn thông tin
14:00 | 08/06/2021|Công nghệ thông tin
Lỗ hổng 0-day có mã định danh CVE-2021-40539 giúp hacker vượt qua cơ chế xác thực của ManageEngine ADSelfService Plus để có thể thực thi mã từ xa, mở ra cánh cổng đến với máy chủ quản trị domain Active Directory.
15:00 | 16/09/2021
