详细内容或原文请订阅后点击阅览
Dark Halo 利用 SolarWinds 漏洞入侵组织
Volexity 正在发布与影响 SolarWinds Orion 软件平台客户的入侵相关的更多研究和指标。Volexity 还发布了一份指南,用于应对 SolarWinds 漏洞以及如何检测、预防和补救此供应链攻击。2020 年 12 月 13 日星期日,FireEye 发布了一篇博客,详细介绍了对 SolarWinds 公司的入侵。此次入侵涉及通过 SolarWind 的 Orion 软件产品更新分发后门。FireEye 将此活动归咎于其跟踪为 UNC2452 的未知威胁行为者。Volexity 随后将这些攻击与其在 2019 年末和 2020 年为一家美国智库开展的多起事件联系起来。Volexity 以 Dark Halo 的名义追踪了这个威胁行为者。在一家特定的智库,Volexity 处理了三起涉及 Dark Halo 的独立事件。在最初的事件中,Volexity 发现了多个工具、后门和恶意软件植入物,这些使得攻击者长时间不被发现 […]Dark Halo 利用 SolarWinds 漏洞入侵组织一文首先出现在 Volexity 上。
来源:Volexity _恶意软件Dark Halo 利用 SolarWinds 漏洞入侵组织
2020 年 12 月 14 日
作者:Damien Cash、Matthew Meltzer、Sean Koessel、Steven Adair、Thomas Lancaster、Volexity Threat Research
Volexity 正在发布与影响 SolarWinds Orion 软件平台客户的漏洞相关的更多研究和指标。Volexity 还
发布了一份指南用于应对 SolarWinds 漏洞以及如何检测、预防和补救此供应链攻击。
2020 年 12 月 13 日星期日,FireEye 发布了一篇博客,详细介绍了对 SolarWinds 公司的一次涉嫌入侵。此次入侵涉及通过 SolarWind 的 Orion 软件产品更新分发后门。 FireEye 将此活动归咎于其追踪的 UNC2452 未知威胁行为者。Volexity 随后将这些攻击与其在 2019 年末和 2020 年在美国一家智库开展的多起事件联系起来。Volexity 以 Dark Halo 的名义追踪了这个威胁行为者。
发布了一篇博客 Dark Halo在一家特定的智库,Volexity 开展了三起涉及 Dark Halo 的独立事件。在最初的事件中,Volexity 发现了多个工具、后门和恶意软件植入程序,这些程序使攻击者在几年内都未被发现。从网络中解救出来后,Dark Halo 再次卷土重来,利用了该组织的 Microsoft Exchange 控制面板中的漏洞。在这起事件接近尾声时,Volexity 观察到威胁行为者使用一种新颖的技术绕过 Duo 多因素身份验证 (MFA),通过该组织的 Outlook Web App (OWA) 服务访问用户的邮箱。最后,在第三次事件中,Dark Halo 于 2020 年 6 月和 7 月通过其 SolarWinds Orion 软件入侵了该组织。
Microsoft Exchange 控制面板