NTT：全球威胁情报中心月度报告（英文版）（8页）.pdf

《NTT：全球威胁情报中心月度报告（英文版）（8页）.pdf》由会员分享，可在线阅读，更多相关《NTT：全球威胁情报中心月度报告（英文版）（8页）.pdf（8页珍藏版）》请在三个皮匠报告上搜索。

1、2020年2月20日，生产网络和应用程序监控平台的SolarWinds公司遭受网络攻击，将恶意软件上传到Orion平台的更新中。这个名为Sunburst的恶意软件破坏了SolarWinds的合法软件更新，并被分发给政府和私营部门的17000多名SolarWinds客户。2020年6月，当威胁参与者从SolarWinds的系统中移除恶意软件时，入侵仍未被发现。根据这次事件发生时美国情报部门的评估，在被袭击的17000个组织中，只有极少数真正遭到破坏。这一评估后来发生了变化，随着调查的继续，网络分析师继续发现有关太阳风网络攻击的更多细节。最近有关SolarWinds入侵归因的信息显示，国家高级持久

2、性威胁(APT)很可能是特洛伊木马攻击的罪魁祸首。UNC2452，也被称为暗晕，APT29，也被称为舒适熊，俄罗斯威胁演员图拉已被列为太阳风袭击的可能来源。舒适熊通常与俄罗斯对外情报局SVR联系在一起，而图拉通常与俄罗斯情报局FSB联系在一起。根据可疑的俄罗斯黑客工具以及战术、技术和程序(TTP)，分析人士确定了图拉的攻击方法与SolarWinds攻击的相似之处，包括使用的恶意软件类型。Sunburst，也叫Solarigate，是使用额外的Sunspot恶意软件上传到SolarWinds Orion平台的，类似于Turla网络攻击中使用的Kazuar后门。Kazuar与Sunburst有几个共同的特点。Kazuar和Sunburst的相似之处包括用于生成受害者唯一标识符(uid)的算法、FNV-1a散列的广泛使用以及两个后门使用的休眠算法。造成这些相似性的可能原因可能是，如果Sunburst的开发人员从Kazuar的编码中收集到创意，或者恶意软件来自同一个来源，那么Sunburst的开发人员与Kazuar的开发人员是同一个工程师。