网络安全公司CrowdStrike，一家直接参与调查SolarWinds供应链攻击的公司，今天说，它发现了第三种与最近的黑客攻击直接相关的恶意软件，这一发现增加了之前发现的Sunburst（Solorigate）和Teardrop恶意软件毒株。

但是虽然Sunspot是SolarWinds黑客的最新发现，Crowdstrike称，该恶意软件实际上是第一个被使用的恶意软件。

太阳黑子恶意软件在SolarWinds的构建服务器上运行https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>今天发布的报告，Crowdstrike说，Sunspot是在2019年9月部署的，当时黑客首次入侵SolarWinds的内部网络。

Sunspot恶意软件安装在SolarWinds build server上，这是一种软件，开发者用来将较小的组件组装成较大的软件应用程序。

Crowdstrike说，Sunspot有一个独特的目的-也就是说，监视构建服务器上的构建命令，这些命令组装了Orion，这是SolarWinds的顶级产品之一，是一个全球33000多个客户使用的IT资源监控平台。

一旦检测到构建命令，恶意软件会悄悄地用加载Sunburst恶意软件的文件替换Orion应用程序中的源代码文件，导致猎户座应用程序版本也安装了Sunburst恶意软件。

这些木马化的猎户座客户端最终进入了SolarWinds的官方更新服务器，并安装在该公司许多客户的网络上。

一旦发生这种情况，Sunburst恶意软件将在公司和客户的内部网络中激活政府机构，它将收集受害者的数据，然后将信息发送回SolarWinds黑客（参见赛门铁克报告关于如何通过DNS请求发回数据）。

然后，威胁参与者将决定受害者是否足够重要，是否可以妥协，并将在这些系统上部署更强大的Teardrop后门特洛伊木马，同时，指示Sunburst从其认为不重要或风险太高的网络中删除自己。

然而，这一发现在SolarWinds攻击中发现的第三个恶意软件是今天曝光的关于这起事件的三大更新之一https://orangematter.solarwinds.com/2021/01/11/new-findings-from-our-investigation-of-sunburst/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=“externalLink”>SolarWinds在其博客上发布了另一项声明，并公布了黑客攻击的时间表。这家总部位于德克萨斯州的软件供应商表示，在Sunburst恶意软件于2020年3月至6月部署到客户之前，黑客还在2019年9月至11月间进行了一次测试运行。

SolarWinds首席执行官Sudhakar Ramakrishna今天说：“随后于2019年10月发布的猎户座平台版本似乎包含了一些修改，旨在测试攻击者在我们的构建中插入代码的能力。”，在一项评估中，CrowdStrike的报告也作出了回应。