SolarWinds 黑客攻击可能与 Turla APT 相关

有关在庞大的SolarWinds 供应链攻击中使用的 Sunburst 后门的新细节可能将其与 Turla 高级持续威胁 (APT) 组织先前已知的活动联系起来。

卡巴斯基的研究人员发现了 Sunburst 和 Kazuar 后门之间的几个代码相似之处。Kazuar 是一种使用 .NET 框架编写的恶意软件，Palo Alto 于 2017 年首次报道（尽管其开发可追溯到 2015 年）。

据卡巴斯基称，它已被发现是全球网络间谍攻击的一部分。那里的研究人员表示，在过去三年的多次违规中，它一直与已知的 Turla 工具一起使用。根据卡巴斯基之前的研究，Turla（又名 Snake、Venomous Bear、Waterbug 或 Uroboros）是自 2014 年以来已知的俄语威胁行为者，但其根源可以追溯到 2004 年或更早。

Sunburst 和 Kazuar 之间的重叠特征包括睡眠算法；FNV-1a 哈希的广泛使用；以及用于为受害者生成唯一 ID (UID) 的算法。

该公司在周一发布的一份分析报告中指出：“在 Sunburst 恶意软件于 2020 年 2 月首次部署后，Kazuar 继续发展，2020 年后期的变体在某些方面与 Sunburst 更加相似。” “总的来说，在 Kazuar 的演变过程中，专家们观察到了持续的发展，其中增加了与 Sunburst 相似的重要特征。”

报告补充说，虽然这些算法或实现都不是独一无二的，但三个不同重叠的存在引起了研究人员的注意：“一个巧合不会那么不寻常，两个巧合肯定会引起人们的注意，而三个这样的巧合有点像怀疑我们。”

也就是说，研究人员警告说，代码片段并不完全相同——留下了几个可能的重叠原因。

“虽然 Kazuar 和 Sunburst 之间的这些相似之处值得注意，但它们存在的原因可能有很多，包括 Sunburst 与 Kazuar [Turla] 由同一组开发，Sunburst 的开发人员使用 Kazuar 作为灵感，Kazuar 开发人员转向 Sunburst团队，或者 Sunburst 和 Kazuar 背后的两个团队都从同一来源获得了他们的恶意软件，”报告称。

标签：卡巴斯基,Turla,Kazuar,SolarWinds,APT,算法,Sunburst,恶意软件
来源： https://blog.csdn.net/zy18165754120/article/details/122364627