网络安全公司赛门铁克（Symantec）表示，它发现了另一个在SolarWinds供应链攻击中使用的恶意软件，使总数达到4个，仅次于Sunspot、Sunburst（Solorigate）和Teardrop。

命名为Raindrop，赛门铁克表示，该恶意软件只在攻击的最后阶段使用一种入侵，仅部署在极少选定目标的网络上。

赛门铁克说，在迄今为止调查的案件中，它只遇到了四个雨滴样本。

太阳风供应链攻击的时间线

但要了解雨滴在这些攻击中的角色和位置，我们必须首先回顾整个SolarWinds事件的时间线。

根据微软、FireEye、CrowdStrike和其他公司发布的报告和信息，SolarWinds入侵事件据信发生在2019年中期，当时黑客，太阳黑子恶意软件，他们专门在太阳风公司自己的网络中使用。CrowdStrike称，攻击者使用该恶意软件修改SolarWinds Orion应用程序的构建过程，并插入https://www.fireeye.com/blog/threat-research/2020/12/sunburst-additional-technical-details.html“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>Sunburst（Solorigate）新版猎户座中的恶意软件，一个IT库存管理系统。

这些安装了木马的猎户座版本未被发现，并在2020年3月至6月期间在官方SolarWinds更新服务器上处于活动状态。应用Orion更新的公司也无意中在他们的系统上安装了Sunburst恶意软件。

但是Sunburst恶意软件并不特别复杂，除了收集有关受感染网络的信息并将数据发送到远程服务器之外，没有做太多工作。

即使大约18岁，2000名SolarWinds客户感染了Sunburst恶意软件，这家俄罗斯黑客组织仔细选择了攻击目标，仅在少数情况下选择了升级攻击，例如美国政府机构、微软、，或者安全公司FireEye。

当黑客决定“升级访问，“他们使用Sunburst下载并安装了Teardrop恶意软件[请参阅过去的报告，来自赛门铁克href=“https://research.checkpoint.com/2020/sunburst-teardrop-and-the-netsec-new-normal/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>检查点]。

雨滴-泪滴的兄弟姐妹

但赛门铁克表示，在某些情况下，黑客选择部署Raindrop恶意软件，而不是更广泛使用的Teardrop。

尽管两个后门的版本不同，但赛门铁克表示，这两个后门具有相似的功能，公司称之为“钴打击信标的加载程序，“入侵者后来用它来升级和扩大他们在被黑客入侵的IT网络中的访问权限。

但是，尽管Raindrop和Teardrop都是用于相同的目的，Symantec说，两者在代码级别上也存在一些差异，大多数都是隐藏的，最好在下表中描述：