2020年12月13日、IT管理ソフトやリモート監視ツールの開発を行うSolarWindsは同社が開発するOrion Platformにバックドアが含まれていたことを公表しました。同社の製品は米国の多数の政府機関、企業で導入されていたため影響範囲が広く、またFireEyeが12月8日に発表した不正アクセス事案との関連があったことから米国を中心に大きな注目を浴びる事案となっています。ここでは関連する情報をまとめます。 1.何が起きたの? FireEyeが受けた不正アクセスの手口が明らかになり、米政府機関など多数の組織にも影響が及ぶキャンペーンであったことが判明。 SolarWinds社Orion Platformの正規のアップデートを通じてバックドアが仕込まれた。資格情報窃取による侵害の手口が報告されている。 2020年3月からバックドアを使ったキャンペーンが開始され、アジアを含む世界中の組
This blog post is older than a year. The information provided below may be outdated. Note: we are updating as the investigation continues. Revision history listed at the bottom. This post contains technical details about the methods of the actor we believe was involved in Recent Nation-State Cyber Attacks, with the goal to enable the broader security community to hunt for activity in their network
We suspect these hard-coded AD domains may be SolarWinds internal domains that UNC2452 wanted to avoid. Finally, SUNBURST verifies the system has internet connectivity by ensuring it can resolve the DNS name api.solarwinds.com. Otherwise, execution stops and retries at a random later time. Anti-Analysis Blocklists SUNBURST's behavior is affected by the presence of malware analysis and security sof
Automation Center Trend Micro Automation Center is a central hub for APIs and documentation across Trend Micro products. It offers searchable cross-product APIs and use cases for IT and security teams to automate tasks and improve efficiency. Learn more Education Portal The Education Portal serves as a comprehensive resource for Trend Micro employees to develop their professional capabilities. Thr
This post is also available in: English (英語) 概要 SolarWindsのOrionソフトウェアに対するサプライチェーン攻撃の背後にいるアクターは、高度な技術的洗練やオペレーションセキュリティへの配慮にくわえ、およそ18,000人のSolarWindsの顧客への潜在的侵害における斬新なテクニックの組み合わせを示してきました。もとの情報源からの公開内容でも示されているように、この攻撃者は、より正当な永続化方法を得た後は、最初のバックドアを削除することが観測されています。 トロイの木馬化されたOrionアーティファクトの分析で .NET .dll app_web_logoimagehandler.ashx.b6031896.dll は SUPERNOVA と呼ばれていましたが、そのオペレーションの詳細はほとんど公開されていません。 注意: SUPER
This post is also available in: English (英語) 最終更新: 2021-01-18 17:43 JST (英語版の 2021-01-15 16:45 PST の内容までを反映) 概要 12月13日の日曜日、FireEyeは、同社がUNC2452と呼ぶ未知のアクターによる侵害とデータ漏えいに関連する情報を公開しました。Unit 42では同攻撃グループをSolarStormと呼び、これに関連する活動を追跡し、観測されたテクニック、IoC、行動方針を含むATOMをUnit 42 ATOM Viewerに公開しました。FireEyeによると、SolarStormは、SolarWindsのOrionプラットフォームのトロイの木馬化された更新ファイルにより構成されるサプライチェーン攻撃によって、世界中の組織を侵害しています。 FireEyeのブログ「Highly
Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor Written by: FireEye UPDATE (May 2022): We have merged UNC2452 with APT29. The UNC2452 activity described in this post is now attributed to APT29. Executive Summary We have discovered a global intrusion campaign. We are tracking the actors behind this campaign as UNC2452. FireEye d
Previous Part of the analysis is available here. Next Part of the analysis is available here. Update from 19 December 2020: Prevasio would like to thank Zetalytics for providing us with an updated (larger) list of passive (historic) DNS queries for the domains generated by the malware. As described in the first part of our analysis, the DGA (Domain Generation Algorithm) of the Sunburst backdoor pr
In the previous parts of our blog (part I and part II), we have described the most important parts of the Sunburst backdoor functionality and its Domain Generation Algorithm (DGA). This time, let's have a deeper look into the passive DNS requests reported by Open-Source Context and Zetalytics. The valid DNS requests generated by the malware fall into 2 groups: DNS requests that encode a local doma
This post is also available in: English (英語) 結論 弊社製品をご利用中のお客様に対し、同脅威のアクティビティならびに実際に識別されたすべての脅威に対する製品組み込みの保護が継続的に更新されます。お客様には、Unit 42のリサーチャーが製品のエコシステム全体を確実に保護するため全力で取り組みを続けていることを知っておいていただければと思います。 弊社は顧客保護のために効果的な対策を展開してきましたが、これとはべつに、SolarWindsをご活用の組織の皆様がご自身で講じることのできる追加の保護手段がいくつかあります。 組織内のすべてのSolarWindsサーバーを識別し、それらをネットワークの他の部分から分離してインターネット向けのトラフィックをブロックする ネットワーク、エンドポイントのログでSUNBURST、TEARDROP、BEACONマル
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く