SolarWinds製品を悪用した攻撃、感染したとみられる組織のリストが公開

　国家の意を受けているとみられるハッカー集団がSolarWindsのソフトウェア「Orion」のアップデートをトロイの木馬化し、世界各地の企業や政府のネットワークを攻撃している問題で、複数のセキュリティ研究者や研究チームが、この攻撃によって内部システムが「SUNBURST」マルウェアに感染した可能性がある100～280に上る組織のリストをこの週末に公開した。

提供：NASA

　このリストには、IT企業、地方自治体、大学、病院、銀行、通信プロバイダーが含まれる。大企業としては、Cisco、SAP、Intelなどの名前が挙がっている。

　先週Microsoft、FireEye、McAfee、Symantec、Kaspersky、米サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA）が発表した、感染したシステムに関する詳しい調査レポートによると、マルウェアは感染した企業のネットワークに関する情報を収集し、12～14日待機した後、データをリモートのコマンド＆コントロール（C&C）サーバーに送信していたという。

提供：Microsoft

　ロシア政府の支援を受けていると考えられているハッカー集団は、受信したデータを分析し、自分たちの情報収集目的にかなうネットワークにのみ、さらに激しい攻撃を仕掛けたとみられる。

　SolarWindsは先週、ハッキング被害の事実を認め、同社が行った遠隔測定から判断して、SUNBURSTマルウェアを仕掛けられたOrionプラットフォームのバージョンをダウンロードしていたのは、同社の30万の顧客中、約1万8000に上ると述べている。

By decoding the #DGA domain names, we discovered nearly a hundred domains suspected to be attacked by #UNC2452 #SolarWinds, including universities, governments and high tech companies such as @Intel and @Cisco. Visit our github project to get the script.https://t.co/jsnOldynCV pic.twitter.com/40VfXuR6JI

— RedDrip Team (@RedDrip7) December 16, 2020

The #DGA decoding of #SolarWinds attack point toward certain companies (NOT saying they were hacked, but references) LukOil, Deloitte, Hewlett Foundation @Hewlett_Found, KC Power and Light @evergypower@NERC_Official #SUNBURST #UNC2452
More References:https://t.co/kIfaBueu4B

— Dewan Chowdhury (@dewan202) December 18, 2020