Nyheter

SolarWinds sårbarhet – oppdatering 15.12.20

SolarWinds SUNBURST – Supply Chain Attack

Hva har skjedd?

En trusselaktør som foreløpig går under navnet UNC2452, navngitt av FireEye, har laget og signert trojaniserte programvareoppdateringer. Disse har blitt distribuert via SolarWinds’ oppdateringsinfrastruktur i perioden mars 2020 – mai 2020, og hendelsen har fått samlebetegnelsen Solorigate.

SolarWinds.Orion.Core.BusinessLayer.dll er en komponent av Orion programvarerammeverket og inneholder en bakdør som, via HTTP, kommuniserer med tredjepartsservere.
Den manipulerte versjonen av denne komponenten har fått navnet SUNBURST.

Når en SolarWinds-installasjon blir infisert vil trojanere ligge passiv opp til to uker, før den blir aktivert og starter å motta kommandoer (jobs) fra C2, noden aktøren agerer fra.
Den ondsinnede DLL-en vil forsøke å kontakte avsvmcloud[.]com for å klargjøre for en mulig “second-stage” payload, samt for å kompromittere og eksfiltrere data.

NC-Spectrum fortsetter å arbeide med hendelseshåndtering og er i økt beredskap på ubestemt tid.

Dersom noen ønsker mer informasjon om hvilke komponenter som er påvirket, indikatorer for om systemer er påvirket, samt anbefalte handlinger dersom man er påvirket, ta kontakt med oss på drift@nc-spectrum.no