SolarWinds Sunburst
SolarWinds Sunburst 是什么?
SolarWinds Sunburst2020 年的一次供应链攻击,攻击者在 SolarWinds Orion 更新中植入名为 Sunburst 的后门,导致美国政府机构和全球企业被入侵。
Sunburst 是 2020 年 3 月至 6 月间植入 SolarWinds Orion IT 管理平台的木马化后门,FireEye 于 2020 年 12 月发现该事件。攻击者入侵了 SolarWinds 的构建管线,将恶意代码加入合法签名的 Orion 更新,并随之分发至约 18,000 家组织。其中,包括美国财政部、商务部、司法部、国土安全部、FireEye 和微软在内的部分受害方,进一步遭到 TEARDROP 和 Cobalt Strike 植入的后续利用。美国当局将该行动归因于 UNC2452 / APT29(俄罗斯对外情报局)。该事件推动了软件供应链安全的大规模改革,包括 SBOM 和签名构建。
● 示例
- 01
Orion 服务器向 avsvmcloud.com 发送心跳,并接收到第二阶段的 Cobalt Strike 载荷。
- 02
受害机构使用干净介质重建 Orion 部署,并轮换所有 SAML 签名证书。
● 常见问题
SolarWinds Sunburst 是什么?
2020 年的一次供应链攻击,攻击者在 SolarWinds Orion 更新中植入名为 Sunburst 的后门,导致美国政府机构和全球企业被入侵。 它属于网络安全的 漏洞 分类。
SolarWinds Sunburst 是什么意思?
2020 年的一次供应链攻击,攻击者在 SolarWinds Orion 更新中植入名为 Sunburst 的后门,导致美国政府机构和全球企业被入侵。
SolarWinds Sunburst 是如何工作的?
Sunburst 是 2020 年 3 月至 6 月间植入 SolarWinds Orion IT 管理平台的木马化后门,FireEye 于 2020 年 12 月发现该事件。攻击者入侵了 SolarWinds 的构建管线,将恶意代码加入合法签名的 Orion 更新,并随之分发至约 18,000 家组织。其中,包括美国财政部、商务部、司法部、国土安全部、FireEye 和微软在内的部分受害方,进一步遭到 TEARDROP 和 Cobalt Strike 植入的后续利用。美国当局将该行动归因于 UNC2452 / APT29(俄罗斯对外情报局)。该事件推动了软件供应链安全的大规模改革,包括 SBOM 和签名构建。
如何防御 SolarWinds Sunburst?
针对 SolarWinds Sunburst 的防御通常结合技术控制与运营实践,详见上方完整定义。
SolarWinds Sunburst 还有哪些其他名称?
常见的别称包括: UNC2452, Solorigate, Sunburst 后门。