用戶下載更新時，對SolarWinds的漏洞進行網(wǎng)絡(luò)攻擊(微軟公司稱為Solorigate，F(xiàn)ireeye公司稱為Sunburst)。

事實證明，SolarWinds公司建議其用戶從反惡意軟件檢測中排除該更新過程。SolarWinds Orion工具幫助用戶監(jiān)控網(wǎng)絡(luò)。該系統(tǒng)的缺陷使攻擊者能夠訪問整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

該惡意軟件通過使用網(wǎng)絡(luò)攻擊者購買的合法域建立的通信服務(wù)器與其廠家進行通信，這些合法域已經(jīng)存在一段時間。這樣，就可以逃避安全防護系統(tǒng)，以尋找已知惡意站點或全新域的可疑流量。

FireEye公司在調(diào)查報告書中指出:經(jīng)過長達2周的休眠期結(jié)束后，它會檢索并執(zhí)行命令。其中包括傳輸文件和執(zhí)行文件，配置系統(tǒng)文件，重新啟動計算機和禁止系統(tǒng)服務(wù)的功能。

該惡意軟件將其活動偽裝成合法的Orion改進程序流量，并將其偵察結(jié)果存儲在合法的插件配置文件中。還使用模糊的黑名單來識別反病毒等安全工具。

然后，網(wǎng)絡(luò)攻擊者偽造身份安全令牌，讓他們可以冒充任何用戶或賬號，包括特權(quán)賬號，讓他們繞開Office365等服務(wù)的多因素身份驗證，從供應(yīng)商進入內(nèi)部部署和電子郵件賬號。

網(wǎng)絡(luò)攻擊者為了訪問更多的系統(tǒng)，使用其訪問權(quán)限滲透現(xiàn)有用戶帳戶或創(chuàng)建新帳戶。