1 SolarWinds 供应链攻击事件总结报告 双子座实验室 2021-02-01 双子座实验室 2 1.背景3 2.概述4 3. 攻击方式 5 4. 影响范围 7 5. 恶意软件 7 6. 总结 10 7. 防范补救 11 8.IOC 11 9. 参考信息 14 contents 目录 3 1. 背景 2020 年 12 月 13 日，安全公司 FireEye 发布报告，声称全球知名 IT 管理及监控软件供应商 SolarWinds 遭受 供应链攻击。攻击者篡改了 SolarWinds Orion 平台软件更新包，分发了被追踪为 SUNBURST 的恶意软件。该事件 给 SolarWinds 全球用户造成巨大的安全危机，其中包括多个知名公司及政府组织机构。 双子座实验室 4 2. 概述 在该事件中，攻击者通过供应链攻击，篡改了 SolarWinds Orion 平台软件更新包，在 SolarWinds 毫不知情的 情况下，将包含 SUNBURST 后门的更新分发给其客户。由于 SolarWinds 的客户群体十分庞大，给全球许多知名公 司和政府组织机构都带来了安全危机，范围涉及北美，欧洲，亚洲和中东的政府，咨询，技术，电信和采掘业实体。 根据 SolarWinds 官方披露，攻击者在 2019 年就开始潜伏在其产品开发环境中，2020 年 2 月正式进行恶意后门的 部署，详细攻击时间节点如下： 2019 年 9 月 4 日，攻击者获取 SolarWinds 的访问权限； 2019 年 9 月 12 日，攻击者在 SolarWinds 开发环境注入测试代码进行试运行； 2019 年 11 月 4 日，攻击者完成测试； 2020 年 2 月 20 日，SUNBUSRT 后门被编译部署； 2020 年 3 月 26 日，包含 SUNBUSRT 后门的更新包被提供给 SolarWinds 客户； 2020 年 6 月 4 日，攻击者将 SUNBUSRT 从 SolarWinds 开发环境中移除。 SUNSPOT 植入程序 SUNBURST 后门 SolarWinds 产品构建程序 木马化的 SolarWinds 软件更新包 合法 SolarWinds 程序 *.jpg RAINDROP 加载器 TEARDROP 加载器 CobaltStrike BEACON（定制） 监控 替换源文件 生成 包含 加载 图 2-1 活动攻击链 加载执行 提 供 释 放 释 放 EXE JPG 5 表 2-1 恶意软件功能 根据目前公开可见的情报得出，活动大致攻击链如图 2-1 所示。 攻击者使用了一个名为 SUNSPOT 植入程序来将 SUNBURST 后门植入 SolarWinds 的源码构建程序中。 SUNSPOT 利用了互斥体等多种方式来保证在替换源文件时不会引起 SolarWinds 开发人员的怀疑。SUNBURST 后门则是一个极其复杂且隐蔽的后门，在被植入 SolarWinds Orion 平台软件更新包后，通过供应链传播至 SolarWinds 相关客户系统。随着更新程序被部署到受害系统后，SUNBURST 将展开一系列隐蔽的恶意活动， 如通过 DNS 协议结合 DGA 域名来确认受害者的身份，通过多层的环境检测来躲避安全防护策略，通过伪装成 正常的 SolarWinds 组件流量来进行 C2 通信。在攻击后续阶段中，攻击者使用了 Loader 程序（RAINDROP、 TEARDROP）来加载自定义的 Cobalt Strike 有效负载，其中 RAINDROP 还具备在网络中横向传播的功能。 此次攻击活动利用的恶意软件功能列表如下： SolarWinds 供应链攻击的针对性很强，攻击者会花费大量时间特意筛选感兴趣的目标以展开后续攻击。截止目前， 并未有明确的证据指出此次攻击幕后的组织与已知的威胁组织存在关联。对于归因，卡巴斯基研究人员发现在算法上 面，SUNBURST 后门与被黑客组织 Turla 使用的 Kazuar 恶意软件存在许多相似之处。而国外相关知情人士透露给媒体， 认为此次事件幕后攻击者可能是俄罗斯背景组织 APT29，而其归因依据也只是基于 APT29 曾发起过多个影响重大的 攻击事件，但目前并没有足够的证据表明 SolarWinds 攻击的确是 APT29 所为。因此，根据现有情报，我们倾向于 将攻击者追踪为一个全新的威胁组织，采用首次披露该事件的厂商 FireEye 的命名（UNC2452）来指代该事件背后 攻击者（别名：DarkHalo、StellarParticle）。 3. 攻击方式 截止目前，根据各个来源的情报，可以看见攻击者在初始访问、执行、持久性、特权提升、防御规避、命令 控制等方面所采用的攻击模式（如表表 3-1 所示）。但是很明显，这并不是一张完整的攻击链图。攻击者进入 SolarWinds 内部环境的攻击模式，以及恶意软件在受感染系统进行横向移动的攻击模式等还有待进一步发现。 恶意程序 功能描述 SUNSPORT 植入程序，负责将 SUNBUSRT 植入 SolarWinds 产品开发环境 SUNBUST 后门程序，隐蔽收集受感染系统信息，和初始 C2 服务器进行通信以及信息渗漏，提供 TEARDROP TEARDROP Loader 程序，由 SUNBUSRT 提供，加载执行自定义 Cobalt Strike RAINDROP Loader 程序，被发现用于横向传播，加载执行自定义 Cobalt Strike 战术目标 攻击模式 侦察 收集目标主机信息 资源开发 入侵第三方基础设施 资源开发 恶意软件开发 初始访问 供应链入侵 双子座实验室 6 初始访问 利用信任关系 初始访问 有效账号 初始访问 使用外部远程服务 执行 计划任务 执行 系统服务 持久性 创建或修改系统进程 持久性 计划任务 持久性 帐户操纵 持久性 使用外部远程服务 持久性 有效账号 特权提升 创建或修改系统进程 特权提升 计划任务 特权提升 有效账号 防御规避 反混淆 / 解码文件或信息 防御规避 执行限制 防御规避 伪装 防御规避 混淆文件或信息 防御规避 破坏信任控制 防御规避 使用替代认证资料 防御规避 有效账号 凭证窃取 暴力破解 凭证窃取 不安全的凭证 发现 文件和目录发现 发现 进程发现 发现 查询注册表 发现 软件发现 数据收集 邮件收集 命令控制 应用层协议 7 命令控制 数据编码 命令控制 动态解析 命令控制 入侵工具转移 影响 数据操作 表 3-1 攻击模式 4. 影响范围 据 SolarWinds 在其官网发布的安全通告称，此次攻击植入的恶意代码存在于其在 2020 年 3 月至 2020 年 6 月 间发布的多个版本的 Orion 平台软件中，具体产品版本号及篡改代码的 dll 版本如下所示： Orion Platform 2019.4 HF5, DLL version 2019.4.5200.9083 Orion Platform 2020.2 RC1, DLL version 2020.2.100.12219 Orion Platform 2020.2 RC2, DLL version 2020.2.5200.12394 Orion Platform 2020.2, DLL version 2020.2.5300.12432 Orion Platform 2020.2 HF1, DLL version 2020.2.5300.12432 SolarWinds 还根据其内部评估，表示其 30 万名客户中有近 1.8 万人下载了包含 SUNBURST 恶意软件的 Orion 平台版本，说明将近 6% 的客户受到了影响并可能遭受进一步的攻击。但 SolarWinds 宣称在 2020 年 3 月之前和 6 月之后的版本不受此攻击的影响。 各国安全厂商的研究人员通过对 SUNBURST 恶意软件使用的 DGA 域名算法进行解码，可以反推出部分受害者 的计算机域名称，目前对发现的 DGA 域名进行解码后，已发现 100 多家遍布在北美、欧洲、亚洲和中东的政府、咨询、 金融，教育、IT、制造等不同行业的公司和机构，其中就包括像 Intel 及 Cisco 这样的 IT 公司及 National Nuclear Security Administration (NNSA) 这样的美国政府部门。 2021 年 1 月 19 日，FireEye 又发布了一篇 SolarWinds 攻击的幕后组织 UNC2452 利用供应链攻击中获取的凭 证非授权访问受害者的 Microsoft Office 365 及 Azure 环境的分析报告。报告中称 UNC2452 已经使用了多种方法 从本地网络横向扩展到云端，尤其是针对微软的 Office 365。安全公司 Malwarebytes 在同一天也确认 SolarWinds 供应链攻击的幕后攻击者访问了一些公司的 Email 帐户，主要是滥用对 Microsoft Office 365 和 Azure 环境具 有特权访问权限的应用程序来进行入侵，尽管这些公司并没有使用任何 SolarWinds 相关软件。由此可以看出， SolarWinds 供应链攻击的后续影响已逐步扩大，攻击者极有可能利用从供应链初始阶段的攻击中获取的凭证信息进 行后续的有目的攻击活动。 5. 恶意软件 5.1.SUNBURST 后门 根据 FireEye 报告，SUNBURST 后门（被微软称为 Solorigate）通过被木马化的 SolarWinds 软件更新包传 播，该更新包为标准的 Windows Installer 补丁文件，被发布到 SolarWinds 官方更新网站上。其中，SolarWinds. Orion.Core.BusinessLayer.dll 是 Orion 软件框架的 SolarWinds 数字签名组件。恶意代码高度仿照了 SolarWinds 的编码方式与命名规范，除此外，代码中存在误导性命名方式来迷惑分析人员。 SUNBURST 后 门 代 码 包 含 在 SolarWinds.Orion.Core.BusinessLayer.dll 文 件 中， 通 过 父 进 程 SolarWinds. BusinessLayerHost.exe 或者 SolarWinds.BusinessLayerHostx64.exe 加载执行，该 DLL 具有合法的签名，可以减 双子座实验室 8 小被杀毒软件发现的概率。 后门主要功能如下： 设置执行前的延迟时间； 收集并上传系统信息，包括：域、管理员帐户的 SID、主机名、用户名、操作系统版本、系统目录路径、当前和 系统启动时间差、网络适配器信息（MAC 地址、DHCP 启用、DHCP 服务器、DNS 主机名、DNS 域名后缀搜索顺序、 DNS 服务器搜索顺序、IP 地址、IP 子网、默认 IP 网关）等； 下载并执行代码； 迭代文件系统； 创建和删除文件； 计算文件哈希； 读取、写入、删除注册表项； 重新启动系统； 后门执行前，将对当前的运行环境进行检测。检测代码多达 9 层，几乎所有的判断都是通过自定义的 hash 算法 进行。如其中一项检测不满足条件，在父进程不重启或插件不重新加载的情况下不会再次上线，检测对象包括父进程、 落地时间、持久化状态、感染域、测试域或供应商内网、网卡、分析工具进程、杀软进程、杀软相关驱动程序等。 完成环境检测后，恶意软件将向自定义的 NameServer 发起 DNS 请求，隐蔽传输受害者信息。恶意软件通过 一个 DnsRecords 对象保存 DNS 查询获取的信息，包括休眠时间、请求 URL 与返回数据的解析方式、代理类型、 DNS CNAME、白名单等。 下图为恶意软件请求的 C2 域名构成： 图 5 -1 域名组成 appsync-api. eu-west-1 us-west-2 us-east-1 us-east-2 DGA子域 固定 固定随机选择一个 在该阶段，DNS 请求的域名由四个部分组成（如图 5-1）。第一部分为动态生成的 DGA 子域，DGA 子域生成 方式包含两种，两种均使用了受害主机的信息作为变量：第一种使用的信息包括：网络接口物理地址、设备域名、设 备注册表值（HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineGuid）；第二种使用了受 害设备注册表值 MachineGuid。通过解码，可以得到受害者的相关信息（见 IOC 部分）。域名的第二部分则是硬编 码在恶意软件中的固定值。第三部分则是随机从四个域中（如图 6-1）选择一个。第四部分同样也是被硬编码在恶意 软件中的固定值。对于 DNS 请求返回的 IP 地址，恶意软件会进行黑白灰名单验证。黑名单包括内网 IP 黑名单、外 网黑名单，用于排除无效的 DNS 查询结果，一旦碰撞上，后门将直接退出。如果查询结果和灰名单碰撞上，后门将 更改为等待状态，退出此次活动，等待下次调用。如果在白名单中，则会循环进行 DNS 请求，查询被分段的设备域 名直到结束。完成 DNS 查询后，将 CNAME 以及 CNAME 所指向 IP 标记为 ext。 该阶段主要目的是让攻击者确认受害者身份并对目标进行筛选，以决定是否对该受害者进行下一阶段的攻击活 动。同时获取初始的命令与控制（C2）服务器地址。命令与控制部分的代码入口在名为 SolarWinds.Orion.Core. 9 BusinessLayer.OrionImprovementBusinessLayer.HttpHelper 的文件中。命令与控制通信伪装成合法的 HTTP 请求， 使用的 User-Agent、URL、返回数据的解析方式、出网代理均根据实际情况进行选择或随机化。同时，传输的数据 信息被刻意拆散并伪装成合法的 json 格式进行传输。通信会使用到上一阶段中获取到的请求 URL 与返回数据的解析 方式和代理类型。 5.2.TEARDROPLoader 程序 TEARDROP 是 一 个 由 SUNBURST 分 发 的 Loader 程 序， 其 作 为 一 个 服 务 运 行， 从 文 件“*.jpg”（ 如 Celebration_computer.jpg，upbeat_anxiety.jpg，gracious_truth.jpg 和 confidence_promotion.jpg） 中 读 取恶意代码并生成一个线程，然后检查 HKU SOFTWAREMicrosoftCTF 是否存在。其使用自定义滚动异或算法 解码嵌入式的有效载荷，并使用自定义类似 PE 的文件格式手动将嵌入式有效载荷加载到内存中。目前暂未发现 TEARDROP 与任何以前看到的恶意软件存在代码重叠。其分发的有效负载为 Cobalt Strike BEACON。 图 5-2 TEARDROP 结构（来源：Microsoft） 图 5-3 RAINDROP 结构（来源：Microsoft） 5.3.RAINDROPLoader 程序 除 TEARDROP 之外，分析人员还发现 SolarWinds 攻击中使用的另一种 Loader 程序，被命名为 RAINDROP。 RAINDROP 和 TEARDROP 类似，同样可提供 Cobalt Strike 有效负载，但两者之间有一些关键的区别。TEARDROP 由 SUNBURST 后门分发，RAINDROP 则是被用于在网络中传播并部署有效负载。RAINDROP 使用自定义的打包器 来打包 Cobalt Strike，打包器使用了隐写术。其通过修改 7-Zip 源代码构建，被编译为 DLL，以隐藏攻击者添加的 恶意功能。RAINDROP 提取编码的有效负载并进行解密和解压缩。研究人员发现 RAINDROP 分发的 Cobalt Strike 被配置为使用 HTTPS 或用 SMB 命名管道作为通信协议。 CobaltStrikeReflectiveLoader CobaltStrikeReflectiveLoader CobaltStrikeReflectiveLoader Preliminaryloader(ArtifactKit) DATASection DATASection Beacon Beacon Beacon CustomloaderDLL(TEARDROP) TypeADLL TypeBDLL CODESection CODESection 双子座实验室 10 5.4.SUNSPOT 植入程序 CrowdStrike 研究人员发现 SolarWinds 攻击者是通过一个被命名为 SUNSPOT 的工具来将 SUNBURST 插入到 SolarWinds 更新包中。其监控涉及 Orion 产品编译的运行进程 MsBuild.exe，并替换了一个源文件，以使编译出来 的产品中包含 SUNBURST 后门。 SUNSPOT 被开发人员内部命名为 taskhostw.exe，根据二进制文件中的构建时间戳，它可能构建于 2020-02- 20 11:40:02，基本吻合此次供应链事件的时间表。攻击者通过创建主机启动时执行的计划任务集来维持 SUNSPOT 的持久性。同时还会创建文件（C:WindowsTempvmware-vmdmp.log）来记录错误以及部署信息。通过修改安 全令牌（添加 SeDebugPrivilege）来授予自身调试权限。除此之外，SUNSPOT 通过一些保护机制（如检查互斥体）， 避免由于代码替换引起的编译错误引发开发人员察觉。 5.5.GoldMax、GoldFinder、Sibot 组件 2021 年 3 月 4 日，Microsoft 发布相关报告，跟踪披露了该活动后期阶段（横向移动后）使用的系列组件 （GoldMax、Sibot、GoldFinder），这些恶意软件最早可能在 2020 年 6 月就已在受感染的系统上使用。 GoldMax（被 FireEye 称为“SUNSHUTTLE”）恶意软件采用 Go 语言编写，主要作为与 C2 进行通信的后门， 通过模拟系统管理软件上的计划任务，以保持持久性。GoldMax 使用了几种不同的技术来混淆恶意活动并逃避检测。 该恶意软件将加密的配置文件写入磁盘，配置文件名基于环境变量和其相关的运行网络信息生成。其通过与 C2 建立 会话密钥通信以进行安全通信，C2 可以通过伪随机生成的 cookie 发送命令。GoldMax 配备了混淆恶意流量的功能， 该功能启用后，恶意软件会发起伪随机数量的对合法域和 C2 域的 HTTP GET 请求。 Sibot 是一个由 VBScript 编写的恶意组件，功能包括持久性维护和下载执行有效负载。其模拟合法的 Windows 任务名称，存储在注册表或加密存储在磁盘上，通过预定的任务执行。脚本可以通过参数设置来进行自定义，包括： 运行有效负载的命令行、有效负载的安装目录、下载有效负载的 C2 服务器地址、用于下载的 HTTP 请求类型等。 GoldFinder 是一个采用 Go 语言编写的恶意组件，可以作为自定义 HTTP 跟踪器，其记录数据包到达硬编码的 C2 服务器的路由或跳数。GoldFinder 会发出对硬编码 IP 地址的 HTTP 的请求，并将响应记录到 .txt 文件中，记录 的信息包括：目标（C2 URL）、StatusCode（HTTP 响应 / 状态码）、标头（HTTP 响应标头及其值）、数据（来 自 C2 的 HTTP 响应数据）。该组件根据响应状态码和 HTTP Location 字段来判断下一步操作和进行日志文件记录， 从而识别 HTTP 代理服务器和重定向器。 6. 总结 此次 SolarWinds 供应链攻击活动，攻击者通过在软件下载的源头植入恶意代码，并利用多个恶意软件分发定制 Cobalt Strike，导致使用此软件的企业相继中招，并且其后续攻击也逐步显现。目前针对这次攻击的幕后黑客组织 及其意图也有诸多猜测： （1）2021 年 1 月 12 日，有团伙在网站（hxxp:/ 思科、SolarWinds、FireEye）泄露的数据。在网站内容末尾，攻击者提供了一个字符串 (25b23446e6c29a8a1a0 aac37fc3b65543fae4a7a385ac88dc3a5a3b1f42e6a9e) 并声称该字符串与其获取这批数据的方式有关。该字符串 符合 SHA256 特征，但是通过搜索，目前并未找到与之相关的公开文件。大胆推测，如果该网站的确是此次供应链 事件的幕后者所有，那此 SHA256 对应文件很可能存在于受害者的环境中，而不会被公开。换个角度来看，该泄露 网站的出现似乎透露出幕后组织主要是为了获取更多经济利益为目的而发起的攻击。但是该网站如此“简单粗暴”的 “要钱”和攻击者开发后门时的严谨完全不像一个风格，这不得不让人怀疑这极有可能是一些犯罪团伙为了蹭此次事 件的热度而进行的诈骗操作，另一方面，也有可能是攻击者想借此掩饰一下真实的意图和身份。 11 8.IOC SUNSPOT 0819db19be479122c1d48743e644070a8dc9a1c852df9a8c0dc2343e904da389 SUNBURST 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77 abe22cf0d78836c3ea072daeaf4c5eeaf9c29b6feb597741651979fc8fbd2417 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134 ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6 292327e5c94afa352cc5a02ca273df543f2020d0e76368ff96c84f4e90778712 Installer： d0d626deb3f9484e649294a8dfa814c5568f846d5aa02d4cdad5d041a29d5600 代码签名证书： 53f8dfc65169ccda021b72a62e0c22a4db7c4077f002fa742717d41b3c40f2c7 439bcd0a17d53837bc29fb51c0abd9d52a747227f97133f8ad794d9cc0ef191e DGA 域： *.appsync-api.eu-west- （2）2021 年 1 月中旬，多家国外公司爆出其微软 365 及邮件系统受到攻击，并明确承认受到此次攻击链的影响， 这更加印证了攻击者横向扩展的目的，主要是获取更多的用户凭据，从而拿到更有价值的信息来进行后续攻击。 （3）从网上披露的通过 DGA 解密的相关受害者信息我们可以看到，该事件影响范围相当广泛，涉及到多家巨 头公司和政府机构，其中还包括一些知名网络安全厂商。而攻击者耐心潜伏，逐步挑选目标才进行后续攻击。可见， 攻击者无论在开发水平、攻击策略、攻击水平上都有着很强的实力。 综合来看，SolarWinds 供应链攻击的幕后组织针对性很强，符合 APT 攻击组织的特点，并且有着的强大的技术 能力和完备的运作管理方式。但是截至目前，攻击者的攻击动机似乎还是难以捉摸。随着此次攻击的后续影响范围逐 步扩大，相信会有越来越多的攻击事件细节被披露，而其背后组织的真面目也会逐渐浮出水面。我们将持续跟踪整个 事件的最近进展。 7. 防范补救 安装有 SolarWinds Orion Platform 软件的用户可自行检查其版本，若发现装有 2019.4 到 2020.2.1 之间上面 提到版本，请立刻更新到 2020.2.1 HF1 或其以上版本。2019.4 HF6 版本不受影响。如果客户现在无法升级，客户 应通过防火墙限制 Orion Platform 的 Internet 访问且仅保留必要端口，并开启杀毒软件对系统进行全面查杀扫描。 SolarWinds 官方发布通告链接：SolarW 安全公司奇安信也发布了后门软件的专杀工具，参考链接如下： 双子座实验室 12 1ec138f21a315722fb702706b4bdc0f544317f130f4a009502ec98345f85e4ad 2a276f4b11f47f81dd2bcb850a158d4202df836769da5a23e56bf0353281473e 327f1d94bc26779cbe20f8689be12c7eee2e390fbddb40b92ad00b1cddfd6426 3985dea8e467c56e8cc44ebfc201253ffee923765d12808aaf17db2c644c4c06 557f91404fb821d7c1e98d9f2f5296dc12712fc19c87a84602442b4637fb23d4 5cf85c3d18cd6dba8377370883a0fffda59767839156add4c8912394f76d6ef0 5f8650ca0ed22ad0d4127eb4086d4548ec31ad035c7aec12c6e82cb64417a390 674075c8f63c64ad5fa6fd5e2aa6e4954afae594e7b0f07670e4322a60f3d0cf 6ff3a4f7fd7dc793e866708ab0fe592e6c08156b1aa3552a8d74e331f1aea377 7c68f8d80fc2a6347da7c196d5f91861ba889afb51a4da4a6c282e06ef5bdb7e 915705c09b4bd108bcd123fe35f20a16d8c9c7d38d93820e8c167695a890b214 948bfdfad43ad52ca09890a4d2515079c29bdfe02edaa53e7d92858aa2dfbe4c 955609cf0b4ea38b409d523a0f675d8404fee55c458ad079b4031e02433fdbf3 b348546f4c6a9bcafd81015132f09cf8313420eb653673bf3d65046427b1167f b35e0010e0734fcd9b5952ae93459544ae33485fe0662fae715092e0dfb92ad3 b820e8a2057112d0ed73bd7995201dbed79a79e13c79d4bdad81a22f12387e07 *.appsync-api.us-west- *.appsync-api.us-east- *.appsync-api.us-east- TEARDROP b820e8a2057112d0ed73bd7995201dbed79a79e13c79d4bdad81a22f12387e07 1817a5bf9c01035bcf8a975c9f1d94b0ce7f6a200339485d8f93859f8f6d730c RAINDROP 118189f90da3788362fe85eafa555298423e21ec37f147f3bf88c61d4cd46c51 1817a5bf9c01035bcf8a975c9f1d94b0ce7f6a200339485d8f93859f8f6d730c 通过 DGA 解码得到受害者相关信息可参考： 339435444 13 be9dbbec6937dfe0a652c0603d4972ba354e83c06b8397d6555fd1847da36725 c5a818d9b95e1c548d6af22b5e8663a2410e6d4ed87df7f9daf7df0ef029872e c741797dd400de5927f8b5317165fc755d6439749c39c380a1357eac0a00f90c c7924cc1bc388cfcdc2ee2472899cd34a2ef4414134cbc23a7cb530650f93d98 c96b7a3c9acf704189ae8d6124b5a7b1f0e8c83c246b59bc5ff15e17b7de4c84 cbbe224d9854d6a4269ed2fa9b22d77681f84e3ca4e5d6891414479471f5ca68 cdd9b4252ef2f6e64bccc91146ec5dc51d94e2761184cd0ffa9909aa739fa17e dbd26ccb3699f426dc6799e218b91d1a3c1d08ad3006bc2880e29c755a4e2338 e60e1bb967db273b922deeea32d56fc6d9501a236856ef9a3e5f76c1f392000a f2d38a29f6727f4ade62d88d8a68de0d52a0695930b8c92437a2f9e4de92e418 f61a37aa8581986ba600286d65bb76100fb44e347e253f1f5ad50051e5f882f5 f81987f1484bfe5441be157250b35b0a2d7991cf9272fa4eacd3e9f0dee235de CobaltStrikeBEACON financialmarket gallerycenter 双子座实验室 14 GoldMax 70d93035b0693b0e4ef65eb7f8529e6385d698759cc5b8666a394b2136cc06eb 0e1f9d4d0884c68ec25dec355140ea1bab434f5ea0f86f2aade34178ff3a7d91 247a733048b6d5361162957f53910ad6653cdef128eb5c87c46f14e7e3e46983 f28491b367375f01fb9337ffc137225f4f232df4e074775dd2cc7e667394651c 611458206837560511cb007ab5eeb57047025c2edc0643184561a6bf451e8c2c b9a2c986b6ad1eb4cfb0303baede906936fe96396f3cf490b0984a4798d741d8 bbd16685917b9b35c7480d5711193c1cd0e4e7ccb0f2bf1fd584c0aebca5ae4c 185.225.69.69 srfnetwork GoldFinder 0affab34d950321e3031864ec2b6c00e4edafb54f4b327717cb5b042c38a33c9 srfnetwork Sibot 7e05ff08e32a64da75ec48b5e738181afb3e24a9f1da7f5514c5a11bb067cbfb acc74c920d19ea0a5e6007f929ef30b079eb2836b5b28e5ffcc20e68fa707e66 9. 参考信息 发布者 链接 SolarWinds 官方通告 SolarW Fireeye solarwinds-supply-chain-compromises-with-sunburst-backdoor.html strategies-for-microsoft-365-to-defend-against-unc2452.html backdoor-targeting-us-based-entity.html Volexity compromise-to-breach-organizations/ 15 微软 compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft- defender-helps-protect/ second-stage-activation-from-sunburst-to-teardrop-and-raindrop/ analyzing-nobelium-malware/ 美国 CERT us-cert.cisa.gov/ncas/alerts/aa20-352a Bleepingcomputer 资讯 stolen-in-solarwinds-attacks/ nuclear-weapons-agency/ Zdnet 资讯 malware-released-online/#ftag=RSS 奇安信威胁情报中心 Generation-Algorithm-of-SolarWinds-Supply-Chain-Attack-can-be-Cracked/ Mcafee sunburst-backdoor/ Symantec symantec-enterprise- supply-chain-attack-solarwinds 卡巴斯基 奇安信 ATEAM 腾讯安全 安天 网站：tj- 电话：400-081-0700 邮箱：servicetj-