อัปเดตสถานการณ์ SolarWinds: ทำความรู้จักมัลแวร์ SUNSPOT ฝังตัวแอบแก้ซอร์สโค้ด, ความเชื่อมโยงกับรัสเซียและการประกาศขายข้อมูล

ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

US shares info on Russian malware used to target parliaments, embassies

หน่วย US Cyber Command เผยแพร่ข้อมูลแบ็คดอร์ซึ่งถูกใช้โดยรัสเซีย พุ่งเป้าหน่วยงานราชการในหลายประเทศ

หน่วย US Cyber Command เผยแพร่ข้อมูลแบ็คดอร์ที่ถูกใช้โดยกลุ่มแฮกเกอร์ Turla และ APT28 ซึ่งเชื่อว่ามีรัฐบาลรัสเซียหนุนหลังปฏิบัติการ กลุ่ม Turla พุ่งเป้าหน่วยงานราชการในหลายประเทศ โดยมีประวัติการโจมตีกองบัญชาการกลางของกองทัพสหรัฐฯ, กระทรวงกลาโหมและองค์การนาซ่าด้วย

ข้อมูลของมัลแวร์ที่เผยแพร่ออกมานั้นมีสองส่วน ส่วนแรกเป็นสคริปต์ซึ่งเกี่ยวข้องกับมัลแวร์ ComRAT ในลักษณะของสคริปต์ PowerShell (https://us-cert.