Microsoft, FireEye і GoDaddy випускають перемикач для зламування SolarWinds Sunburst

Microsoft, FireEye і GoDaddy скористалися перемикачем у зловмисному програмному забезпеченні Sunburst, що розповсюджується в рамках зламу Solarwinds, який вплинув на понад 18,000 XNUMX компаній та державних установ.

Заражену DLL було розповсюджено після того, як Solarwinds було зламано та змушене випустити автоматичне оновлення з корисним навантаженням.

Це корисне навантаження, на щастя, має перемикач відключення, який активується, коли зловмисне програмне забезпечення підключається до діапазону IP близько 20.140.0.0/15. Цей діапазон IP зазвичай контролюється Microsoft, і зловмисне програмне забезпечення, можливо, намагалося уникнути виявлення, не створюючи трафік у мережі Microsoft.

«SUNBURST — це шкідливе програмне забезпечення, яке розповсюджувалося через програмне забезпечення SolarWinds. У рамках аналізу SUNBURST, проведеного FireEye, ми визначили вимикач, який не дозволить SUNBURST продовжити роботу», — сказав FireEye.

Хоча виправлення деактивує DLL, воно не скасує дії, які вже вжиті зараженим програмним забезпеченням, які можуть включати встановлення інших постійних бекдорів у мережу жертви.

«Однак під час вторгнень, які бачив FireEye, цей актор швидко встановив додаткові постійні механізми доступу до мереж жертв за межами бекдора SUNBURST. Цей перемикач не видаляє актора з мереж жертв, де вони створили інші бекдори. Однак це ускладнить акторові використання раніше поширених версій SUNBURST», – попередив FireEye.

Читайте всі подробиці на BleepingComputer.