对SolarWinds的高级网络攻击:发生了什么以及现在应该做什么还有更多潜在的受害者。攻击者入侵了IT公司SolarWinds,利用其软件渠道向该公司的18,000名Orion平台客户分发恶意更新。这种情况被称为供应链攻击,因为它依赖于已经可信并可立即广泛分发的软件,因此本质上是最隐蔽和最难检测的。美国国土安全部发布紧急指令,指示所有联邦机构立即采取措施,让受影响的SolarWindsOrion产品下线,并在周一之前报告所有相关信息。我们知道,虽然这起事件有助于揭露一场高级且影响深远的攻击,但攻击者希望获得比安全公司FireEye窃取的攻击工具更有价值的东西。随着此活动的不断发展,我们将让客户了解任何新的发展。号召性用语立即隔离运行2020年3月至2020年6月期间发布的Orion平台版本HF52019.4至2020.2.1的所有系统。使用Malwarebytes扫描您的PC以查找检测到的任何内容,尤其是Backdoor.Sunburst和Backdoor.WebShell。使用本博客末尾的IOC搜索日志、遥测和其他SIEM数据,以提供时间线视角来分析任何潜在的入侵。执行全面的安全扫描以检查和强化您的物理和云基础设施。如果您已经完全完成了前面的几点,请升级到OrionPlatform版本2020.2.1HF2并恢复系统。有关SolarWinds的更多信息:SolarWinds安全公告FireEye:高度规避的攻击者通过SUNWINRST后门利用SolarWinds供应链攻击全球多个受害者:针对政府机构、关键基础设施和私营部门组织的高级持续威胁妥协-public-sector-via-supply-chain-软件更新/
