Microsoft, FireEye ja GoDaddy julkaisivat SolarWinds Sunburst -hakkeroinnin tappamiskytkimen

Microsoft, FireEye ja GoDaddy ovat hyödyntäneet Sunburst-haittaohjelman killswitchiä, joka on jaettu osana Solarwinds-hakkerointia, joka on vaikuttanut yli 18,000 XNUMX yritykseen ja valtion laitokseen.

Tartunnan saanut DLL jaettiin sen jälkeen, kun Solarwinds oli hakkeroitu ja pakotettu julkaisemaan automaattinen päivitys hyötykuorman kanssa.

Onneksi tuossa kuormassa on killswitch, joka aktivoituu, kun haittaohjelma muodostaa yhteyden IP-alueelle noin 20.140.0.0/15. Tätä IP-aluetta hallitsee tavallisesti Microsoft, ja haittaohjelma on saattanut yrittää välttää havaitsemisen luomalla liikennettä Microsoftin verkkoon.

"SUNBURST on haittaohjelma, joka on levitetty SolarWinds-ohjelmiston kautta. Osana FireEyen SUNBURSTIN analyysiä tunnistimme kill-kytkimen, joka estäisi SUNBURSTIa jatkamasta toimintaa”, FireEye sanoi.

Vaikka korjaus poistaa DLL:n käytöstä, se ei kumoa tartunnan saaneen ohjelmiston jo suorittamia toimia, joihin voi kuulua muiden pysyvien takaovien asentaminen uhrin verkkoon.

"Kuitenkin FireEyen näkemissä tunkeutumisissa tämä näyttelijä ryhtyi nopeasti luomaan uusia pysyviä mekanismeja päästäkseen uhriverkkoihin SUNBURST-takaoven ulkopuolella. Tämä killswitch ei poista näyttelijää uhriverkostoista, joihin he ovat perustaneet muita takaovia. Se kuitenkin vaikeuttaa näyttelijän mahdollisuuksia hyödyntää aiemmin jaettuja SUNBURSTIN versioita", FireEye varoitti.

Lue kaikki yksityiskohdat osoitteessa Nukkuva tietokone.