首页保安SolarWinds Sunburst后门:俄罗斯APT组恶意软件的常见组件

SolarWinds Sunburst后门:俄罗斯APT组恶意软件的常见组件

安全研究员 卡巴斯基 发现了 森伯斯特后门 恶意软件 在供应链中发展 对SolarWinds的攻击,礼物 Kazuar的常见功能,Kazuar是与俄罗斯黑客组织Turla关联的.NET后门。

SolarWinds Sunburst后门
SolarWinds Sunburst后门:俄罗斯APT组恶意软件的常见组件

Turla,也称为 毒熊 και bug虫, 带出来 间谍活动 και 数据盗窃 自1996年以来,对于许多专家而言, 攻击 在美国国家航空航天局五角大楼中央司令部 美国 和芬兰外交部。

Kazuar是俄罗斯Turla先前袭击中使用的工具之一。 根据卡巴斯基研究人员的说法,它与SolarWinds攻击背后的团队所使用的软件有很多共同点(按名称跟踪该团队 UNC2452 και 黑暗光环).

她的代表 美国政府也 联邦调查局,h CISA 国家安全局 还说攻击者是 最有可能是俄罗斯APT团队。

SolarWinds Sunburst后门:俄罗斯APT组恶意软件的常见组件

代码相似

Kazuar后门样本显示与Sunburst显着相似。

共同特征之一是 用于为受害者创建UID的算法 (唯一的受害者ID), 两者中FNV-1a哈希的广泛使用 恶意软件 和o 睡眠算法 由Kazuar和Sunburst后门使用。

卡巴斯基指出 此外,尽管有相似之处,但用于实现这些重叠功能的算法 仍然不是100%相同。 因此,他们认为 有一些联系 在两种恶意软件之间 但是这种关系的性质尚未完全清楚“。

揭示重叠的代码段显示“一种类似的思维过程被用来开发Kazuar和Sunburst后门“。

卡巴斯基给了一些 可能的解释 对于上述相似之处:

  • Sunburst由创建Kazuar后门的同一支团队开发
  • Sunburst开发人员采用了Kazuar的一些想法或代码段,但没有直接链接(由Kazuar启发)
  • DarkHalo / UNC2452和使用Kazuar(Turla)的团队都从同一来源获得了恶意软件。
  • 一些Kazuar开发人员成为了另一个的成员 黑客 团队,使用过去的想法和工具并创建类似的恶意软件
  • Sunburst后门程序的开发人员想到利用其他已知恶意软件的元素来阻止他们的注意力与其他黑客组织联系在一起。

卡巴斯基研究人员指出,后一种解释很有可能。 Sunburst后门开发人员可能故意将通用功能误导专家并归因于 攻击 在SolarWinds Elsewhere。

尽管Kazuar和Sunburst有联系,但这种关系的性质仍不清楚卡巴斯基说。 ”通过进一步分析,可能会出现证据来确认上述一种或多种解释。“。

澄清 - 我们并不是说使用Sunburst和Turla的团队DarkHalo / UNC2452一定是同一支团队“。

但是,Sunburst和Kazuar的开发人员似乎已经意识到每种软件的功能更改,这表明了两者之间的联系。

SolarWinds Sunburst后门:俄罗斯APT组恶意软件的常见组件

森伯斯特的后门出现在XNUMX月,当时SolarWinds袭击事件广为人知。 另一方面,Kazuar在原始版本中进行了很大的修改。 攻击 在2017年。Kazuar样本很少上传到恶意软件分析平台,例如 VirusTotal,这就是为什么很难跟上正在发生的变化。

此链接并不表示是谁发起了SolarWinds的攻击,但是,它确实提供了更多信息,可能会对研究人员有所帮助。卡巴斯基全球研究与分析团队(GReAT)主任Costin Raiu说。

我们认为其他人很重要 研究人员 在世界各地探索这些相似之处,并尝试发现更多 分子 关于Kazuar和森伯斯特的起源“。

资料来源:Bleeping Computer

数字要塞https://www.secnews.gr
追求梦想与生活!
spot_img

实时新闻

iPhone:如何将实时照片另存为视频

NVIDIA Shield:获得 Google TV 的发现功能

00:04:04

NASA:地球吸收了“前所未有”的热量

微软:诚实地回答其新游戏

00:03:01

淡水谋杀案:Caroline Smartwatch & Forensics