卡巴斯基:专家将SolarWinds攻击与Kazuar后门联系起来

2020年12月13日,FireEye、微软和SolarWinds宣布发现了一场大规模的复杂的供应链攻击,攻击者部署了一种新的之前未知的被称为“Sunburst”的恶意软件来攻击SolarWindws的 Orion IT 客户。卡巴斯基专家发现,Sunburst与已知版本的Kazuar后门程序(这种类型的恶意软件能够提供对受害者计算机的远程访问)之间存在各种特定的代码相似性。这些最新发现为帮助研究人员进一步研究攻击提供了见解。

在研究Sunburst后门程序时,卡巴斯基专家发现其某些功能与之前发现的Kazuar后门程序有所重合。Kazuar是一种使用.NET架构编写的后门程序,由Palo Alto在2017年首次报道,并用于全球各地的网络间谍攻击。代码上的多处相似表明Kazuar和Sunburst之前存在关联,尽管其性质尚未确定。

Sunburst和Kazuar重叠的功能包括受害者UID生成算法、休眠算法和大量使用FNV-1a散列。根据专家调查,这些代码片段并非100%相同,表明Kazuar和Sunburst可能有所关联,尽管这种关联的性质目前还不完全清楚。

2020年2月,Sunburst恶意软件被首次部署后仍在继续演化, 2020年后来的变种甚至在某些方面与Sunburst更加相似。

整体来看,在Kazuar不断演化的这几年中,安全专家发现一个不断发展的过程,这个过程增加了与Sunburst相似的重要功能。尽管Kazuar和Sunburst之间的相似之处很明显,但它们的存在可能有很多原因,包括它们都是由同一个组织开发的,或者Sunburst开发者是以Kazuar为灵感开发的Sunburst,或者Kazuar的一个开发者转到Sunburst团队,或者Sunburst和Kazuar背后的两个组织都从同一来源获得了他们的恶意软件。

卡巴斯基全球研究和分析团队总监Costin Raiu 评论说:“已发现的关联并不能让我们知道谁是SolarWinds攻击的幕后黑手,但是,这些发现提供了更多的见解,可以帮助研究人员推进这项调查。我们认为,重要的是全球其他研究人员也可以调查这些相似之处,从而发现更多有关Kazuar和Sunburst(在SolarWinds攻击中所使用的恶意软件)来源的事实。以过去的经验来看,例如,回顾WannaCry攻击事件,在早期,很少有事实将其与Lazarus组织联系起来。随着时间的推移,更多的证据出现,让我们和其他人能够很有把握地将它们联系在一起。对这一主题的进一步研究对解开这个谜题非常重要”。

要了解更多有关Sunburst和Kazuar 相似之处的技术细节,请查看Securelist上的报告。要阅读卡巴斯基对Sunburst的研究结果,请点击这里。要了解卡巴斯基如何保护器客户抵御Sunburst后门程序,请访问这里。

为了避免被SolarWinds后门等恶意软件感染的风险,卡巴斯基建议:

· 为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基20多年来收集的网络攻击数据和见解。用户可以免费使用一些功能,例如检查文件、URL地址和 IP 地址。请点击这里。

· 想要自己进行调查的组织和企业可以受益于卡巴斯基威胁溯源引擎。它能够将发现的恶意代码与恶意软件数据库进行匹配,并根据代码的相似性,追溯至之前发现的APT攻击活动。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。

(0)
上一篇 2021年1月12日 13:53
下一篇 2021年1月12日 14:11