在 2020 年 3-6 月期間,SolarWinds Orion 更新瞭 2019.4 到 202.2.1 版本,其中均包含名為 SUNBURST(也稱為Solorigate)的惡意軟件。一旦安裝在計算機上,該惡意軟件會休眠 12-14 天,然後ping avsvmcloud[.]com 的一個子域。

根據安全公司FireEye的分析,C&C域名會回復一個包含CNAME字段的DNS響應,其中包含另一個域名的信息,SUNBURST惡意軟件會從那裡獲得進一步的指令和額外的有效載荷,以便在受感染公司的網絡上執行。

今天早些時候,一個科技公司聯盟查封並下架瞭avsvmcloud[.]com,將該域名轉入微軟所有。熟悉今天行動的消息人士將此次查封描述為 "保護性工作",目的是防止 SolarWinds 黑客背後的威脅行為者向受感染的計算機交付新的訂單。

Source: m.cnbeta.com