SolarWinds 事件新动态：研究员发现新的C2基础设施

RiskIQ 公司研究员最新的研究成果更是佐证了这一点。研究人员发现攻击者仔细规划了每个行动步骤，“避免创建可轻易暴露行踪的模式类型“，从而故意使取证分析变得更加困难。

通过分析和此前公开的妥协指标相关的遥测数据，研究人员找到了很可能和通过TEARDROP 和 RAINDROP 恶意软件交付的目标、二级 Cobalt Strike payload进行通信的额外18台服务器，代表了攻击者已知的命令和控制脚印上涨了56%。

研究人员通过对攻击者所使用 SSL 证书的分析发现了这些“隐藏的模式“。

一周前，美国情报机构正式将 SolarWinds 事件归咎于俄罗斯对外情报局 (SVR)，指出攻击由 APT29（即 Cozy Bear 或 The Dukes）组织实施，可使其监控或破坏全球超过1.6万台计算机系统。不同公司对该攻击者具有不同的命名：UNC2452（火眼公司）、Nobelium（微软）、SolarStorm（Unit42）、StellarParticle（CrowdStrike）和 Dark Halo（Volexity），而对比该攻击者所使用的战术、技术和程序 (TTP)来看，都指向 APT29。

RiskIQ 公司的威胁情报负责人 Kevin Livelli 指出，“旨在检测已知 APT29 组织活动的研究员或产品将无法注意到正在进行的攻击活动，发现时也同样难以追踪，这就是我们为何对 SolarWinds 攻击活动所知甚少的原因所在。“

今年年出，微软注意到攻击者费劲心机地确保初始后门（SUNBURST 即 Solorigate）和攻陷后植入（TEARDROP 和 RAINDROP）尽量使分开的以阻止恶意活动被暴露。这样做的原因在于，即使在受害者网络上发现了 Cobalt Strike 植入，遭攻陷的 SolarWinds 二进制和导致其部署的供应链攻击也不会遭暴露。

但 RiskIQ 公司指出，这并非 APT29 组织隐藏其踪迹的唯一一个步骤，实际还包括：

Livelli 表示，“识别攻击者的攻击基础设施印记通常涉及将 IP 地址和域名和已知的攻击活动相关联以检测模式。“

攻击者表示，“然而，分析表明该攻击组织通过大量措施使研究人员失去研究方向，这表明攻击者费劲心机地避免创建这些模式。“