كشفت Microsoft عن عملية المرحلة الثانية لـ SolarWinds Cyberattack


اكتشف مدى تعقيد الهجوم الإلكتروني الهائل حقًا.

ميزة Microsoft ransomware

شرحت Microsoft مؤخرًا بمزيد من العمق كيفية حدوث هجوم SolarWinds الإلكتروني ، مع توضيح المرحلة الثانية من الهجوم وأنواع البرامج الضارة المستخدمة.

بالنسبة للهجوم مع العديد من الأهداف البارزة مثل SolarWinds ، لا يزال هناك العديد من الأسئلة التي تحتاج إلى إجابة. يكشف تقرير Microsoft عن مجموعة من المعلومات الجديدة حول الهجوم ، تغطي الفترة التي أعقبت قيام المهاجمين بإسقاط الباب الخلفي Sunburst.

مايكروسوفت تفاصيل المرحلة الثانية من الهجوم الإلكتروني SolarWinds

ال أمان Microsoft تقدم المدونة نظرة على “الرابط المفقود” ، وهي الفترة التي تم فيها تثبيت باب Sunburst الخلفي (المشار إليه باسم Solorigate بواسطة Microsoft) في SolarWinds حتى زرع أنواع مختلفة من البرامج الضارة داخل شبكات الضحية.

كما نعلم بالفعل ، فإن SolarWinds هي واحدة من “هجمات التسلل الأكثر تطورًا وطول أمد في العقد” ، وأن المهاجمين “هم مشغلو حملات ماهرون خططوا ونفذوا الهجوم بعناية ، وظلوا بعيد المنال مع الحفاظ على المثابرة.”

تؤكد مدونة أمان Microsoft أنه تم تجميع الباب الخلفي الأصلي Sunburst في فبراير 2020 وتوزيعه في مارس. بعد ذلك ، قام المهاجمون بإزالة الباب الخلفي Sunburst من بيئة بناء SolarWinds في يونيو 2020. يمكنك اتباع الجدول الزمني الكامل في الصورة التالية.

هجوم Microsoft solarwinds

وتعتقد Microsoft أن المهاجمين قضوا وقتًا في إعداد وتوزيع غرسات Cobalt Strike الفريدة والمخصصة والقيادة والسيطرة ، و “النشاط العملي الحقيقي على لوحة المفاتيح بدأ على الأرجح في وقت مبكر من مايو”.

تعني إزالة وظيفة الباب الخلفي من SolarWinds أن المهاجمين قد انتقلوا من طلب الوصول إلى الباب الخلفي من خلال البائع إلى الوصول المباشر إلى شبكات الضحية. كانت إزالة الباب الخلفي من بيئة البناء خطوة نحو إخفاء أي نشاط ضار.

ذات صلة: مايكروسوفت تكشف عن الهدف الفعلي للهجوم الإلكتروني SolarWinds

من هناك ، بذل المهاجم جهودًا كبيرة لتجنب اكتشاف وإبعاد كل جزء من الهجوم. كان جزء من السبب وراء ذلك هو أنه حتى لو تم اكتشاف وإزالة غرسة Cobalt Strike الضارة ، فإن الباب الخلفي SolarWinds لا يزال متاحًا.

تضمنت عملية مكافحة الكشف:

  • نشر غرسات Cobalt Strike الفريدة على كل جهاز

  • قم دائمًا بتعطيل خدمات الأمان على الأجهزة قبل متابعة حركة الشبكة الجانبية

  • مسح السجلات والطوابع الزمنية لمحو آثار الأقدام ، وحتى الذهاب إلى أبعد من ذلك لتعطيل التسجيل لفترة لإكمال مهمة قبل إعادة تشغيلها.

  • مطابقة جميع أسماء الملفات وأسماء المجلدات للمساعدة في تمويه الحزم الخبيثة على نظام الضحية

  • استخدام قواعد جدار الحماية الخاصة للتعتيم على الحزم الصادرة للعمليات الضارة ، ثم إزالة القواعد عند الانتهاء

تستكشف مدونة Microsoft Security مجموعة التقنيات بتفصيل أكبر بكثير ، مع قسم مثير للاهتمام يبحث في بعض أساليب مكافحة الكشف الجديدة التي استخدمها المهاجمون.

SolarWinds هي واحدة من أكثر الاختراقات تطوراً على الإطلاق

ليس هناك شك في أذهان فرق الاستجابة والأمن في Microsoft في أن SolarWinds هي واحدة من أكثر الهجمات تقدمًا على الإطلاق.

يعني الجمع بين سلسلة هجوم معقدة وعملية مطولة أن الحلول الدفاعية تحتاج إلى رؤية شاملة عبر المجال لنشاط المهاجم وتوفر شهورًا من البيانات التاريخية مع أدوات صيد قوية للتحقيق في وقت سابق عند الضرورة.

لا يزال هناك المزيد من الضحايا في المستقبل أيضًا. لقد أبلغنا مؤخرًا أن المتخصصين في مكافحة البرامج الضارة Malwarebytes قد تم استهدافهم أيضًا في الهجوم الإلكتروني ، على الرغم من أن المهاجمين استخدموا طريقة مختلفة للدخول للوصول إلى شبكتها.

ذات صلة: Malwarebytes أحدث ضحية للهجوم الإلكتروني SolarWinds

بالنظر إلى النطاق بين الإدراك الأولي لوقوع مثل هذا الهجوم السيبراني الهائل ومجموعة الأهداف والضحايا ، يمكن أن يكون هناك المزيد من شركات التكنولوجيا الكبرى للمضي قدمًا.

أصدرت Microsoft سلسلة من التصحيحات التي تهدف إلى تقليل مخاطر SolarWinds وأنواع البرامج الضارة المرتبطة بها يناير 2021 الثلاثاء التصحيح. تعمل التصحيحات ، التي تم إطلاقها بالفعل ، على التخفيف من ثغرة يوم الصفر التي تعتقد Microsoft أنها مرتبطة بهجوم SolarWinds الإلكتروني وكانت قيد الاستغلال النشط في البرية.

ميزة هجوم سلسلة التوريد
ما هو اختراق سلسلة التوريد وكيف يمكنك البقاء آمنًا؟

لا تستطيع اختراق الباب الأمامي؟ مهاجمة شبكة سلسلة التوريد بدلا من ذلك. إليك كيفية عمل هذه الاختراقات.


عن المؤلف

تم النشر في
مصنف كـ Uncategorized

اترك تعليقًا

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *