استفاده از بدافزار Sunspot برای تزریق درب پشتی به SolarWinds!

محققان امنیت سایبری با ادامه تحقیقات در مورد حملات زنجیره‌‌ای به نرم‌افزار مانیتورینگ شبکه شرکت SolarWinds، از شناسایی یک بدافزار دیگر در محیط اجرایی آن خبر دادند. این بدافزار جدید که Sunspot نام دارد، برای تزریق درب پشتی به سیستم نظارت بر شبکه Orion شرکت SolarWinds استفاده می‌شود. به این ترتیب، بدافزار Sunspot پس از بدافزارهای Sunburst و Teardrop، سومین بدافزاری است که در نرم‌افزار Orion شناسایی شده‌ است.

در حالی که شواهد اولیه نشان می‌دهند که عوامل پشت پرونده این پویش جاسوسی، اوایل اکتبر ۲۰۱۹ میلادی توانستند زیرساخت و امضای کد نرم‌افزار Orion را با هدف نصب درب پشتی Sunburst روی آن، به خطر بیاندازند، آخرین یافته‌ها نشان می‌دهند که اولین نقض شبکه SolarWinds در ۴ سپتامبر ۲۰۱۹، با هدف استقرار بدافزار Sunspot صورت گرفته است. به گفته محققان، پس از نصب Sunspot، فایل اجرایی بدافزار (taskhostsvc.exe) به خود اجازه خطایابی می‌دهد و با ربودن جریان کار Orion از طریق نظارت بر اجرای فرایندهای نرم‌افزاری، متعاقباً یک فایل کد منبع را با نوع مخرب آن جایگزین می‌کند و به این ترتیب، کد درب پشتی Sunburst را به محیط نرم‌افزار تزریق می‌کند.

منبع

پست‌های مشابه

Leave a Comment