Microsoft tarafından, SolarWinds’in Serv-U dosya aktarım teknolojisinde uzaktan kod yürütülmesini sağlayan 0-day (sıfırıncı gün açığı) zafiyeti bulunmuş, daha sonrasında SolarWinds ile paylaşılmıştı fakat her iki şirkette tehdit aktörleri hakkında bir bilgi vermemişti. İki gün önce bu konuyla ilgili Microsoft tarafından yazılan detaylı bir blog yazısında, yapılan analizler ve anektotlar ışığında ilgili tehdit aktörünün DEV-0322 olduğu duyurdu.

Microsoft, tehdit aktörünün fiziki olarak Çin’de bulunduğunun, ticari VPN çözümleri ve güvenliği ihlal edilmiş yönlendiricileri saldırılarında kullandıklarını belirtiyor. DEV-0322’nin daha önce ise ABD Savunma Sanayi Üs Sektöründeki yazılım şirketlerini ve varlıklarını hedef aldığı belirtiliyor.

MSTIC araştırmacıları, rutin bir araştırma sırasında Microsoft 365 Defender telemetrisinde 0-day ile ilgili saldırı davranışının tespit edildiğini belirtiyor. Daha sonrasında ise Serv-U işlem süreçlerindeki incelemelerden sonra bunun ortaya çıkarıldığı belirtiliyor.

Microsoft, DEV-0322’nin yazılım şirketlerini, savunma müteahhitlerini veya diğer türdeki hedefleri hedef alıp almadığı ile ilgili herhangi bir bilgi paylaşmadı.