2020年12月13日，F(xiàn)ireEye、微軟和SolarWinds宣布發(fā)現(xiàn)了一場大規(guī)模的復雜的供應鏈攻擊，攻擊者部署了一種新的之前未知的被稱為“Sunburst”的惡意軟件來攻擊SolarWindws的 Orion IT 客戶。卡巴斯基專家發(fā)現(xiàn)，Sunburst與已知版本的Kazuar后門程序（這種類型的惡意軟件能夠提供對受害者計算機的遠程訪問）之間存在各種特定的代碼相似性。這些最新發(fā)現(xiàn)為幫助研究人員進一步研究攻擊提供了見解。

在研究Sunburst后門程序時，卡巴斯基專家發(fā)現(xiàn)其某些功能與之前發(fā)現(xiàn)的Kazuar后門程序有所重合。Kazuar是一種使用.NET架構(gòu)編寫的后門程序，由Palo Alto在2017年首次報道，并用于全球各地的網(wǎng)絡間諜攻擊。代碼上的多處相似表明Kazuar和Sunburst之前存在關(guān)聯(lián)，盡管其性質(zhì)尚未確定。

Sunburst和Kazuar重疊的功能包括受害者UID生成算法、休眠算法和大量使用FNV-1a散列。根據(jù)專家調(diào)查，這些代碼片段并非100%相同，表明Kazuar和Sunburst可能有所關(guān)聯(lián)，盡管這種關(guān)聯(lián)的性質(zhì)目前還不完全清楚。

2020年2月，Sunburst惡意軟件被首次部署后仍在繼續(xù)演化， 2020年后來的變種甚至在某些方面與Sunburst更加相似。

整體來看，在Kazuar不斷演化的這幾年中，安全專家發(fā)現(xiàn)一個不斷發(fā)展的過程，這個過程增加了與Sunburst相似的重要功能。盡管Kazuar和Sunburst之間的相似之處很明顯，但它們的存在可能有很多原因，包括它們都是由同一個組織開發(fā)的，或者Sunburst開發(fā)者是以Kazuar為靈感開發(fā)的Sunburst，或者Kazuar的一個開發(fā)者轉(zhuǎn)到Sunburst團隊，或者Sunburst和Kazuar背后的兩個組織都從同一來源獲得了他們的惡意軟件。

卡巴斯基全球研究和分析團隊總監(jiān)Costin Raiu 評論說：“已發(fā)現(xiàn)的關(guān)聯(lián)并不能讓我們知道誰是SolarWinds攻擊的幕后黑手，但是，這些發(fā)現(xiàn)提供了更多的見解，可以幫助研究人員推進這項調(diào)查。我們認為，重要的是全球其他研究人員也可以調(diào)查這些相似之處，從而發(fā)現(xiàn)更多有關(guān)Kazuar和Sunburst（在SolarWinds攻擊中所使用的惡意軟件）來源的事實。以過去的經(jīng)驗來看，例如，回顧WannaCry攻擊事件，在早期，很少有事實將其與Lazarus組織聯(lián)系起來。隨著時間的推移，更多的證據(jù)出現(xiàn)，讓我們和其他人能夠很有把握地將它們聯(lián)系在一起。對這一主題的進一步研究對解開這個謎題非常重要”。

要了解更多有關(guān)Sunburst和Kazuar 相似之處的技術(shù)細節(jié)，請查看Securelist上的報告。要閱讀卡巴斯基對Sunburst的研究結(jié)果，請點擊這里。要了解卡巴斯基如何保護器客戶抵御Sunburst后門程序，請訪問這里。

為了避免被SolarWinds后門等惡意軟件感染的風險，卡巴斯基建議：

· 為您的 SOC 團隊提供對最新威脅情報（TI）的訪問?？ò退够{情報門戶網(wǎng)站是卡巴斯基威脅情報的一站式訪問點，提供卡巴斯基20多年來收集的網(wǎng)絡攻擊數(shù)據(jù)和見解。用戶可以免費使用一些功能，例如檢查文件、URL地址和 IP 地址。請點擊這里。

· 想要自己進行調(diào)查的組織和企業(yè)可以受益于卡巴斯基威脅溯源引擎。它能夠?qū)l(fā)現(xiàn)的惡意代碼與惡意軟件數(shù)據(jù)庫進行匹配，并根據(jù)代碼的相似性，追溯至之前發(fā)現(xiàn)的APT攻擊活動。

關(guān)于卡巴斯基

卡巴斯基是一家成立于1997年的全球網(wǎng)絡安全公司?？ò退够粩鄬⑸疃韧{情報和安全技術(shù)轉(zhuǎn)化成最新的安全解決方案和服務，為全球的企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施、政府和消費者提供安全保護。公司提供全面的安全產(chǎn)品組合，包括領(lǐng)先的端點保護解決方案以及多種針對性的安全解決方案和服務，全面抵御復雜的和不斷演化的數(shù)字威脅。全球有超過4億用戶使用卡巴斯基技術(shù)保護自己，我們還幫助全球250,000家企業(yè)客戶保護最重要的東西。