研究人员发现了太阳林黑客使用的其他基础设施

去年12月曝光的大规模SolarWinds网络攻击以其用于渗透和维持目标基础设施的战术的复杂性而闻名，如此之多，以至于微软继续称这场运动背后的威胁参与者为“熟练且有条不紊的操作员，他们遵循操作安全（OpSec）的最佳实践，尽量减少跟踪，保持在雷达之下，避免被发现。”

为了进一步证明这一点，今天发表的新研究表明，威胁行为人仔细规划了行动的每个阶段，以“避免创建使追踪变得简单的模式”，从而故意使法医分析变得困难。

RiskIQ表示，通过分析与之前公布的危害指标相关的遥测数据，它确定了另外一组18台具有高度可信度的服务器，这些服务器可能与通过TEARDROP和RAINDROP恶意软件交付的目标二次钴击有效载荷进行通信，表示攻击者已知的命令和控制占用空间增加了56%。

通过分析该组织使用的SSL证书，发现了“隐藏模式”。

一周前，美国情报机构正式将供应链黑客事件归咎于俄罗斯外交情报局（SVR）。据美国政府称，SolarWinds软件供应链的妥协据说赋予了APT29（又名舒适熊或公爵）远程监视或潜在破坏全球16000多个计算机系统的能力。

网络安全社区正在以各种名义追踪这些攻击，包括UNC2452（FireEye）、Nobelium（Microsoft）、SolarStorm（42单元）、StellarParticle（Crowdstrike）和Dark Halo（Volexity），理由是对手使用的战术、技术和程序（TTP）与已知的攻击者配置文件不同，计数APT29。

RiskIQ威胁情报总监凯文·利维利（Kevin Livelli）说：“致力于检测已知APT29活动的研究人员或产品将无法识别正在发生的活动。”。“一旦他们发现了这场战役的踪迹，他们也会经历同样艰难的时间，这就是为什么我们对太阳林战役的后期阶段知之甚少的原因。”

今年早些时候，这家Windows制造商指出，攻击者竭尽全力确保最初的后门（SUNBURST又名Solorigate）和泄露后的植入物（TEARDROP和RAINDROP）尽可能保持分离，以阻止发现其恶意活动。这样做是为了在受害者网络上发现钴打击植入物；它不会透露受损的SolarWinds二进制文件以及导致其部署的供应链攻击。

但据RiskIQ称，这并不是APT29演员掩盖其踪迹的唯一一步，包括—；

• 通过第三方转销商和在域名拍卖会上以不同的名称购买域名，试图掩盖所有权信息，并在几年内回购合法组织迄今拥有的过期域名。
• 第一阶段的攻击基础设施（SUNBURST）完全在美国境内，第二阶段（TEARDROP和RAINDROP）主要在美国境内，第三阶段（GOLDMAX又名SUNSHUTTLE）主要在国外。
• 设计攻击代码，使在感染链的连续阶段部署的两个恶意软件看起来不一样，以及
• 将第一阶段SUNBURST后门设计为在两周后随机抖动的情况下向其指挥和控制（C2）服务器发送信号，这可能是为了延长大多数基于主机的端点检测和响应（EDR）平台上事件记录的典型寿命。

Livelli说：“识别威胁参与者的攻击基础设施足迹通常涉及将IP和域与已知活动关联起来，以检测模式。”。

“然而，我们的分析显示，该组织采取了广泛的措施，让研究人员远离他们的踪迹，”这表明威胁行为人采取了广泛的措施，以避免创造这种模式。