Бесплатно Экспресс-аудит сайта:

27.02.2021

Microsoft выпустила бесплатный инструмент для удаления Solorigate из зараженных сетей

Компания Microsoft выпустила бесплатный инструмент, позволяющий организациям проверять свои сети на наличие вредоносного ПО Solorigate, использовавшегося в атаках SolarWinds.

Microsoft предлагает организациям запросы CodeQL, использовавшиеся ею для анализа своего исходного кода после обнаружения атаки на SolarWinds. CodeQL представляет собой инструмент из набора GitHub Advanced Security. Используемые Microsoft запросы удаляют код, имеющий сходство в шаблонах и функциях с двоичным файлом SolarWinds. Эти запросы могут использоваться в любом программном обеспечении для выявления признаков атаки SolarWinds.

В свою очередь, компания SecurityScorecard обнаружила , что одной из вредоносных программ, использовавшихся в атаках SolarWinds, является дроппер, загружающий вредоносное ПО только в память. Дроппер под названием Teardrop, профилирующий сетевую и системную среду жертвы, датируется 2017 годом и предположительно связан с российской киберпреступной группировкой, занимающейся кибершпионажем. Из этого следует, что Teardrop мог использоваться и в других APT-операциях, еще до атаки на SolarWinds.

Дроппер запускает Cobalt Strike BEACON – C&C-инструмент из набора с открытым исходным кодом Cobalt Strike, использовавшегося злоумышленниками, вероятнее всего, для сокрытия вредоносной активности.