Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Использовавшийся в атаке на SolarWinds домен превращен в выключатель для бэкдора (http://txgate.io:443/showthread.php?t=15718)

Artifact 02-15-2025 08:34 AM

ИБ-эксперты захватили контроль над доменом avsvmcloud[.]com и превратили его в киллсвитч для бэкдора SUNBURST.
https://www.securitylab.ru/upload/ib...17b7a41456.jpg
Эксперты в области безопасности захватили контроль над ключевым вредоносным доменом, использовавшимся для управления тысячами компьютеров, скомпрометированных в результате взлома производителя ПО SolarWinds, и превратили его в «выключатель» для бэкдора.
Напомним , на прошлой неделе техасский производитель программного обеспечения SolarWinds сообщил, что киберпреступники скомпрометировали его серверы и внедрили вредоносное ПО в обновления для платформы Orion. В результате инцидента скомпрометированными оказались сети организаций, использующих данную платформу, в том числе ИБ-компании FireEye , Министерства финансов США , Министерства внутренней безопасности США .
Как сообщалось ранее, Microsoft удалось захватить контроль над ключевым доменом GoDaddy (avsvmcloud[.]com), использовавшимся хакерами для связи со скомпрометированными системами. Теперь же компания FireEye сообщила, что захват домена стал результатом совместных усилий FireEye, GoDaddy и Microsoft.
«SUNBURST – вредоносное ПО, распространявшееся через программное обеспечение SolarWinds. В ходе анализа SUNBURST мы обнаружили киллсвитч, способный предотвратить дальнейшие операции SUNBURST», – сообщили в FireEye журналисту Брайану Кребсу.
Согласно сообщению компании, в зависимости от IP-адреса, возвращаемого после разрешения вредоносным ПО домена avsvmcloud[.]com, при определенных условиях вредоносное ПО уничтожит само себя и не будет выполняться.
«Этот киллсвитч затронет новые и предыдущие заражения SUNBURST путем деактивации развертываний SUNBURST, который до сих пор сигнализирует avsvmcloud[.]com. Однако в наблюдаемых FireEye проникновениях злоумышленник быстро передвигается и устанавливает дополнительные механизмы персистентности для доступа к сетям жертв за пределами бэкдора SUNBURST. Киллсвитч не удалит злоумышленника из сетей жертв, где он установил дополнительные бэкдоры. Тем не менее, он усложнит злоумышленнику возможность использовать ранее развернутые версии SUNBURST», – сообщили в FireEye.
Учитывая имеющиеся у Microsoft, FireEye и GoDaddy данные и контроль над вредоносным доменом, можно предположить, что у них есть представление о том, какие организации все еще уязвимы к SUNBURST.


All times are GMT. The time now is 07:47 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.