奇安信威胁情报中心于近日发布了一篇关于美国著名网络安全公司FireEye披露的流行网管软件厂商SolarWinds供应链攻击事件通告。
今天,除了微软和FireEye以外,国外安全厂商Volexity也发布了一篇此团伙(Volexity将其命名为DarkHalo)的其他攻击活动的分析文章,揭露了相关团伙更多的攻击活动,同时给出了进一步的IOC信息。
在经过对相关的报告、样本、域名和IP进行扩展和验证后,目前整理得到了一份目前看来比较全面的IOC列表,用于分享本次SolarWinds供应链攻击事件的信息,供用户或者其他厂商执行相应的检测。
值得注意的是,本次提供的域名除了avsvmcloud.com之外,其他的域名建议按照访问发生的时间来分析。这是因为部分域名的注册历史可追溯到很长时间(例如thedoccloud .com的最早注册时间为2013/07/08), 还有的域名目前是过期、可拍卖的状态(例如下图)。
IOC
DOMAIN
*.avsvmcloud.com
######以下域名建议只用于检测2020-03之后的流量#######
databasegalore.com
deftsecurity.com
digitalcollege.org
freescanonline.com
globalnetworkissues.com
highdatabase.com
incomeupdate.com
kubecloud.com
lcomputers.com
panhardware.com
seobundlekit.com
solartrackingsystem.net
thedoccloud.com
virtualwebdata.com
webcodez.com
websitetheme.com
zupertech.com
owa.organization.here
URL:
http://owa.organization.here/owa/auth/Redir.png
http://websitetheme.com/swip/upd/Orion.Apollo.Xml
http://websitetheme.com/swip/upd/Orion.NPM-10.2.xml
文件HASH:
02af7cec58b9a5da1c542b5a32151ba1
2c4a910a1299cdae2a4e55988a2f102e
3e329a4c9030b26ba152fb602a1d5893
4f2eb62fa529c0283b28d05ddd311fae
56ceb6d0011d87b6e4d7023d7ef85676
846e27a652a5e1bfbd0ddd38a16dc865
b91ce2fa41029f6955bff20079468448
e18a6a21eb44e77ca8d739a72209c370
参考链接:
-
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
-
https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/?utm_source=rss&utm_medium=rss&utm_campaign=dark-halo-leverages-solarwinds-compromise-to-breach-organizations
-
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/
本文始发于微信公众号(奇安信威胁情报中心):SolarWinds供应链攻击事件最全IOC
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论