🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
ذكاء نقاط الضعف

UNC2452 تهديدات مجموعة الجهات الفاعلة في مجال التهديد | استشارة إنتل

أدت استشارة CloudSek الخاصة بالاستخبارات المتعلقة بالتهديدات على UNC2452 إلى اختراق وحدة في نظام مراقبة وإدارة تكنولوجيا المعلومات SolarWinds Orion.
تم التحديث بتاريخ
April 16, 2026
تم النشر في
December 16, 2020
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
استشارة
الذكاء العدائي
ممثل التهديد
UNC2452 [أداة تعقب الحملة]
ناقل
سلسلة الإمداد
المورّد
الرياح الشمسيةممثل تهديد متطور يطلق عليه اسم UNC2452 اخترق إحدى الوحدات في نظام مراقبة وإدارة تكنولوجيا المعلومات SolarWinds Orion. لقد زرعوا بابًا خلفيًا [Sunburst] على وجه التحديد في مكتبة DynamicLinked المسماة سولار ويندز.أوريون.core.بيزنيس لاير.dll، تم تحميلها باتباع ملفات .NET التنفيذية [بناءً على تكوين النظام]:
  • نظام التشغيل SolarWinds.طبقة الأعمال.exe
  • نظام الرياح الشمسية. طبقة الأعمال هو المضيف X64.exe.
تستخدم هذه الحملة الجديدة قطارًا «للذاكرة فقط» يُدعى TEARDROP لنشر منارة Cobalt Strike المعدلة على الضحية للقيادة والتحكم (C2).يتوفر المكون trojanized للتنزيل كجزء من التحديث الشرعي التالي: hxxp://downloads.solarwinds [.] كوم/الرياح الشمسية/كتالوج الموارد/CORE/2019.4/2019.4.5220.20574/الرياح الشمسية - كور - v2019.4.5220-hotfix5.msp

القيادة والتحكم (C2)

يتم تضمين اتصالات C2 بأمان كجزء من بروتوكول اتصالات SolarWinds المسمى بروتوكول برنامج Orion Improvement، للتهرب من الأمان وكجزء من الأمن التشغيلي. المجال المستخدم لـ C2 هو avsvmcloud.comيتم استخدام خوارزمية إنشاء المجال لإنشاء وحل النطاق الفرعي لـ avsvmcloud.com تقتل البرامج الضارة خدمات الأمن والطب الشرعي التي تعمل على النظام المستهدف باستخدام قائمة الحظر. تحتوي قائمة الحظر على قائمة الخدمات المرتبطة بموردي AV/EDR/XDR والأدوات الأخرى المتعلقة بالطب الشرعي. تتصل الحمولة بخادم C2 بعد الاتصال بالمجال تم تأسيس api.solarwinds.com. يتم ربط النطاقات الفرعية مع أحد المجالات التالية لإنشاء اسم مضيف لحل المشكلة:
  • .appsync-api.eu-west-1 [.] avsvmcloud [.] com
  • .appsync-api.us-west-2 [.] avsvmcloud [.] com
  • .appsync-api.us-east-1 [.] avsvmcloud [.] com
  • .appsync-api.us-east-2 [.] avsvmcloud [.] com

تقنيات وتكتيكات MITRE

تقنية
التكتيكات
تطوير المواردT1584البنية التحتية للتسويةالوصول الأوليT1195.002سلسلة توريد برمجيات التسويةالتنفيذT1569.002تنفيذ الخدمةتصعيد الاستمرار/الامتيازT1543.003خدمة ويندوزالتهرب الدفاعيT1027ملفات أو معلومات غامضةT1070.004حذف ملفT1553.002توقيع الكوداكتشافT1012سجل الاستعلامT1057اكتشاف العمليةT1083اكتشاف الملفات والدليلT1518اكتشاف البرامجT1518.001اكتشاف برامج الأمانالقيادة والتحكمT1071.001بروتوكولات الويبT1071.004بروتوكول طبقة التطبيقات: DNST1105نقل أداة الدخولT1132.001ترميز قياسيT1568.002خوارزميات إنشاء النطاقات

التأثير

التأثير الفني
  • يجعل أنظمة الأمان عديمة الفائدة
  • نطاق شبكة التسوية
  • إصرار لا يمكن اكتشافه بالكامل على الضحية
تأثير الأعمال
  • يضر ببيانات المستخدم والخصوصية
  • فقدان السمعة والشهرة
  • فقدان قيمة الأسهم
  • انتهاكات الامتثال والغرامة
  • الإجراءات القانونية من العملاء

مؤشرات التسوية

الهاشة/ SHA256
  • d0d626 db3df9484e649294 a8dfa814c5568 f846d5aa02d4cad5d4d5d4d29d5600
  • 53f8dfc65169 ccda021b72a62e0c22a4db7c4077 f002 f742717 d41b3c40f2c7
  • 019085a76ba7126 fff22770d71 bd901 c325 fc68 ac55a743327984 e89 f4b0134
  • ce77d116a074dab7a22a0fd4f2c1ab475 f16e42e1 ed3c0b0a8211 fe858d6
  • 32519b85c0b422e4656 de6e6e6c41878e95 fd95026267 daab4215 ee59c107d6c77
  • 292327e5c94afa352 cc5a02c273df543f 2020d0e76368 ff96c84f4e90778712
  • سي 15 أ ب أ ف 51 إي 78 كا 56 ج 0376522 د 699 ج 978217 بي إف 041أ 3 بد3د 71د 9193 إيفا 5717ج 71
الملكية الفكرية
  • 13.59.205.66
  • 54.193.127.66
  • 54.215.192.52
  • 34.203.23
  • 139.99.115.204
  • 5.252.177.25
  • 5.252.177.21
  • 204.188.205.176
  • 51.89.125.18
  • 167.114.213.199

التخفيف

  • احتواء/عزل خوادم SolarWinds لمزيد من التحقيق
  • قم بتقييد خروج الإنترنت من الخوادم أو نقاط النهاية التي هي خوادم SolarWinds
  • الإشراف على الحساب المميز على خوادم SolarWind
  • يتم توفير القواعد الفعالة للكشف في الرابط أدناه:
https://github.com/fireeye/sunburst_countermeasures
CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد