Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Использовавшийся в атаке на SolarWinds домен превращен в выключатель для бэкдора

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 02-15-2025, 08:34 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

ИБ-эксперты захватили контроль над доменом avsvmcloud[.]com и превратили его в киллсвитч для бэкдора SUNBURST.

Эксперты в области безопасности захватили контроль над ключевым вредоносным доменом, использовавшимся для управления тысячами компьютеров, скомпрометированных в результате взлома производителя ПО SolarWinds, и превратили его в «выключатель» для бэкдора.
Напомним , на прошлой неделе техасский производитель программного обеспечения SolarWinds сообщил, что киберпреступники скомпрометировали его серверы и внедрили вредоносное ПО в обновления для платформы Orion. В результате инцидента скомпрометированными оказались сети организаций, использующих данную платформу, в том числе ИБ-компании FireEye , Министерства финансов США , Министерства внутренней безопасности США .
Как сообщалось ранее, Microsoft удалось захватить контроль над ключевым доменом GoDaddy (avsvmcloud[.]com), использовавшимся хакерами для связи со скомпрометированными системами. Теперь же компания FireEye сообщила, что захват домена стал результатом совместных усилий FireEye, GoDaddy и Microsoft.
«SUNBURST – вредоносное ПО, распространявшееся через программное обеспечение SolarWinds. В ходе анализа SUNBURST мы обнаружили киллсвитч, способный предотвратить дальнейшие операции SUNBURST», – сообщили в FireEye журналисту Брайану Кребсу.
Согласно сообщению компании, в зависимости от IP-адреса, возвращаемого после разрешения вредоносным ПО домена avsvmcloud[.]com, при определенных условиях вредоносное ПО уничтожит само себя и не будет выполняться.
«Этот киллсвитч затронет новые и предыдущие заражения SUNBURST путем деактивации развертываний SUNBURST, который до сих пор сигнализирует avsvmcloud[.]com. Однако в наблюдаемых FireEye проникновениях злоумышленник быстро передвигается и устанавливает дополнительные механизмы персистентности для доступа к сетям жертв за пределами бэкдора SUNBURST. Киллсвитч не удалит злоумышленника из сетей жертв, где он установил дополнительные бэкдоры. Тем не менее, он усложнит злоумышленнику возможность использовать ранее развернутые версии SUNBURST», – сообщили в FireEye.
Учитывая имеющиеся у Microsoft, FireEye и GoDaddy данные и контроль над вредоносным доменом, можно предположить, что у них есть представление о том, какие организации все еще уязвимы к SUNBURST.
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 03:11 PM.

Contact Us - Carder.life - Archive - Top