Détection du Cheval de Troie Sunburst : Attaque de la Chaîne d’Approvisionnement Solarwinds sur FireEye et les Agences Américaines

[post-views]
décembre 14, 2020 · 4 min de lecture
Détection du Cheval de Troie Sunburst : Attaque de la Chaîne d’Approvisionnement Solarwinds sur FireEye et les Agences Américaines

Juste quelques jours après l’information concernant la violation de données de FireEye apparue, l’entreprise a publié les résultats de son enquête et les détails du cheval de Troie Sunburst (y compris le rapport technique and contre-mesures), par lequel le groupe APT a pénétré les réseaux de plusieurs organisations, et maintenant les entreprises potentiellement compromises peuvent rapidement détecter cette menace. L’ampleur de l’attaque de la chaîne d’approvisionnement détectée est vraiment impressionnante : le groupe parrainé par l’État a compromis SolarWinds Inc. et trojanisé les mises à jour du logiciel Orion IT utilisé par l’armée américaine et les agences gouvernementales, ainsi que par 425+ des Fortune 500 américains. Les adversaires ont signé numériquement les mises à jour et les ont publiées sur le site des mises à jour de SolarWinds au printemps dernier, ce qui a laissé un grand nombre d’entreprises dans le monde compromis (les produits de SolarWinds sont utilisés par plus de 300 000 clients dans le monde).

La CISA a publié une directive d’urgence pour atténuer la compromission des produits de gestion de réseau SolarWinds Orion, avertissant de la menace potentielle posée par l’utilisation des produits SolarWinds Orion dans les réseaux de nombreuses organisations des secteurs publics et privés.

Analyse du Cheval de Troie Sunburst et Contenu de Détection

Le cheval de Troie Sunburst se cache dans SolarWinds.Orion.Core.BusinessLayer.dll. Après s’être introduit dans le système, le cheval de Troie attend jusqu’à deux semaines avant de commencer son activité nuisible. Il est capable de transférer et d’exécuter des fichiers, de profiler le système, de désactiver les services du système, et de redémarrer la machine. Le cheval de Troie Sunburst utilise le protocole du Programme d’Amélioration Orion et enregistre les données collectées dans des fichiers de configuration de plugins légitimes, rendant extrêmement difficile la détection de l’activité malveillante dans le réseau d’une organisation.

Notre équipe SOC Prime et en collaboration avec les développeurs du programme Threat Bounty ont publié des règles Sigma basées sur les contre-mesures Sunburst publiées par FireEye sur GitHub pour détecter le cheval de Troie Sunburst et les outils liés à cette attaque. L’article et la liste des règles seront mis à jour. Suivez notre blog et consultez le Threat Detection Marketplace pour les dernières règles de détection du cheval de Troie Sunburst et des menaces associées pour rester à jour. 

Voici la liste des règles actuellement disponibles :

AD – Exportation de la clé maître ADFS DKM (via sysmon)

AzureAD – Modifications du jeton de rafraîchissement du Service de Jetons de Sécurité (STS)

AD – Exportation de la clé maître ADFS DKM (via événements de sécurité)

AzureAD – Utilisateur ajouté aux groupes privilégiés de l’annuaire d’Azure Active Directory

Détecteur d’activité de l’acteur de menace Dark Halo[UNC2452]

Détecteur d’attaque de la chaîne d’approvisionnement SolarWinds

AzureAD – Ajout de permission et d’affectation de rôle pour la lecture des boîtes mail de tous les boîtes de réception

AzureAD – Détection de la modification de la confiance de fédération de domaine

AzureAD – Application modifiée pour autoriser l’accès multi-locataires

Solarwinds lançant Powershell avec encodage Base64 (via ligne de commande)

Solarwinds lançant cmd.exe avec echo (via ligne de commande)

Spawn du processus adaptateur ADFS (via ligne de commande)

CSRSS.exe lancé depuis un emplacement inhabituel (possibilité d’imitation) (via ligne de commande)

Renommage de ADFind (via ligne de commande)

Arrêt suspect du Service de sauvegarde (via ligne de commande)

Détection de changement d’importance des paramètres AWS VPC
Détection de SolarWinds Solarigate (via canal nommé)
Nom d’hôte C2 du cheval de Troie Solarwinds détecté. (via SSL)

Détecte une possible activité APT DarkHalo (opérateurs BackDoor SunBurst) via la création d’archive 7Zip pour l’exfiltration de données

Hachage de l’outil FireEye Red Team détecté

Détection de l’outil de piratage AndrewSpecial

Détection de l’outil de piratage KeeFarce

Activité possible de reconnaissance sur Exchange par Dark Halo (via ligne de commande)

Nom d’hôte C2 du cheval de Troie Solarwinds détecté. (via DNS)

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande 3 min de lecture Plateforme SOC Prime Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande by Steven Edwards Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Telychko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Telychko
Toutes les actualités