中国黑客与俄罗斯OP并行地定位了Solarwinds客户

到目前为止，大多数人都知道黑客与俄罗斯政府绑定了Solarwinds软件构建系统，并用它来推动了大约18,000名公司客户的恶意更新。周一，研究人员公布了证据表明，来自中国的黑客也针对Solarwinds客户，在安全分析师表示是一个明显不同的操作。

自12月以来，并行黑客活动是公众知识，当时研究人员透露，除了供应链攻击之外，黑客在Solarwinds软件中开发了一个名为Orion的漏洞。后者广告系列的黑客使用开发程序在使用网络管理工具的客户的网络上安装恶意Web shell Dubbed Supernova。然而，研究人员甚少是谁对谁进行攻击的任何线索。

在周一，研究人员表示，这次袭击可能是由一个基于中国的黑客群体进行了“螺旋”的攻击。在SecureWorks的反威胁单元周一发表的报告中制定了发现，基于Hack中的技术，策略和程序，它们与早期妥协在同一网络中发现的研究人员相同或非常相似。

这一发现来自于称为汉尼姆的基于中国的黑客是至少五个攻击的黑客之一，它在成千上万的Microsoft Exchange服务器上安装了恶意Web壳。星期一的报告显示，对于高级持久威胁黑客而言，对APTS的速度没有短缺 - 决定针对美国基于组织的宽带。 “当时每个人都在捕猎铪网屏幕的时候，由于零日，我们学到了上周，螺旋＆＃39;活动是一个提醒，企业在不止一个前面被殴打，”Juan Andres Guerrero-Saade Sentsent公司Sentinelone的主要威胁研究人员在直接留言中表示。该报告是“APT生态系统的多样性和广度提醒”。

反威胁单位研究人员表示，他们在11月遇到过超新星，因为他们回应了客户网络的黑客攻击。与其他恶意Web shell一样，Supernova已安装后，攻击者成功获得了在目标系统上执行恶意代码的能力。然后，攻击者使用SuperNova发送命令，窃取密码和其他数据，该数据具有访问网络的其他部分。

SecureWorks CTU研究人员已经认为，目标网络内部运动的速度和外科精度建议螺旋在其内部进行了经验。然后，研究人员注意到11月2020年8月的研究人员之间的相似之处。研究人员说。

“CTU研究人员最初无法将8月份活动归因于任何已知的威胁团体，”研究人员写道。 “然而，2020年代后期螺旋入侵的以下相似之处表明螺旋威胁组对两种入侵负责：”

威胁参与者使用相同的命令通过COMSVCS.dll转储LSASS进程并使用相同的输出文件路径（参见图6）。

访问相同的两个服务器：域控制器和可以提供对敏感业务数据的访问的服务器。

CTU研究人员已经知道中国黑客一直利用Mangeengine服务器，以便长期获得感兴趣的网络。但是，单独的是，螺旋不足以确定它在中国的起源。研究人员在联系后变得更加自信，因为8月入射的黑客意外地暴露了他们的一个IP地址。它是良好的地理位组织。

黑客在窃取端点检测软件SercureWorks已销售给黑客客户时，Hackers暴露了其IP地址。出于尚不清楚的原因，HACKERS然后在其一台计算机上运行安全产品，此时它将其IP地址暴露在达到SecureWorks服务器时。

黑客计算机的命名约定与通过VPN连接到网络时使用的电子计算机的不同计算机相同。 CTU研究人员收集的证据放在一起，让他们确信两个黑客都是由同一群体所做的，并且该集团乃总基于中国。

“8月份CTU研究人员在8月份分析的超新星相关活动的相似之处表明，螺旋威胁小组对两种入侵负责，”CTU研究人员写道。 “这些侵入的特征表明与中国有可能连接。”