Microsoft publiceert nieuwe SolarWinds hack analyse
Microsoft meld dat de SolarWind hackers hun Cobalt Strike implantaten in het netwerk van het bedrijf hebben geactiveerd via een sluw VBScript. Dit werd geactiveerd door een routinematig systeemproces. Zo konden de hackers hun inbraak verhullen en detectie te vermijden.
Microsft meldt: "Een ontbrekende schakel in de complexe Solorigate aanvalsketen is de overdracht van de Solorigate DLL-achterdeur naar de Cobalt Strike-lader. Uit ons onderzoek blijkt dat de aanvallers er alles aan deden om ervoor te zorgen dat deze twee componenten zo veel mogelijk van elkaar werden gescheiden om detectie te omzeilen."
Microsoft belicht in een blog details over deze overdracht op basis van een beperkt aantal gevallen waarin dit proces plaatsvond.
