执行摘要与背景信息

微软发现了一起针对多个受害者的复杂供应链攻击。攻击者利用恶意的SolarWinds文件，可能使国家背景的攻击者获得了部分受害者网络的访问权限。微软网络安全专家正在调查此次攻击，以确保客户尽可能安全。

关键时间节点：

• 2021年2月25日：发布用于追踪Solorigate活动的CodeQL查询开源代码
• 2021年2月18日：发布《翻过Solorigate一页，开启安全社区新篇章》及《微软内部Solorigate调查最终更新》
• 2020年12月31日：发布微软内部Solorigate调查更新
• 2020年12月13日：发布关于攻击者方法的总结（持续更新）

安全运营与威胁狩猎信息

建议客户实施新的检测和防护措施，以识别可能的先前活动或防止未来攻击。我们已在此文中发布IOC指标，该列表非 exhaustive，可能随调查进展而扩展。

关键资源：

• 2021年1月28日：Microsoft 365 Defender研究团队关于使用M365 Defender防护、检测和响应Solorigate的在线研讨会
• 2021年1月21日：深入分析Solorigate第二阶段（从SUNBURST到TEARDROP和Raindrop后门）的技术细节
• 2020年12月28日：发布使用Microsoft 365 Defender识别、调查和响应Nobelium攻击的全面指南

安全管理员信息

关键文章：

• 2021年1月15日：使用Microsoft 365 Defender和Azure Defender增强对Solorigate及其他复杂攻击模式的韧性
• 2020年12月18日：保护Microsoft 365免受本地攻击的身份专业指南

微软安全产品与解决方案指南

产品概述链接：

• https://docs.microsoft.com/security/
• https://docs.microsoft.com/azure/security/
• https://docs.microsoft.com/azure/sentinel/
• https://docs.microsoft.com/microsoft-365/security/
• https://docs.microsoft.com/windows/security/
• https://docs.microsoft.com/cloud-app-security/

获取帮助与支持

• 产品支持：通过https://support.microsoft.com/contactus提交案例
• 部署协助：联系https://fasttrack.microsoft.com
• 事件响应：如需事件响应协助，请提交Sev A级支持案例

其他建议与资源

• FireEye威胁情报报告：全球入侵活动利用软件供应链漏洞
• SolarWinds安全公告：SolarWinds安全建议
• CISA指南：https://us-cert.cisa.gov/ncas/alerts/aa20-352a

修订历史

• 2021-03-04：增加关于将攻击者及相关组件命名为Nobelium的背景信息
• 多次更新包括新增检测指南、产品支持扩展和深度技术分析链接