Din ce am inteles este vorba despre un backdoor intr-o componenta din platforma Orion de la SolarWinds
Alta analiza
Orion.
Cod c# din pacate. S-au dus atacurile elaborate.
Totul e pe fata.
https://cert.ro/citeste/scan-servere-expuse-internet-solarwinds-romania
În contextul îndeplinirii rolului său de autoritate civilă în domeniul securității cibernetice conform HG 494/2011, CERT-RO desfășoară activități specifice pentru identificarea în spațiul de IP-uri din Romania de servere SolarWinds Orion expuse în internet.
Urmărim confirmarea prezenței componentei /Orion/logoimagehandler.ashx, vizată de backdoor-ul Supernova.
Verificările vor fi făcute de către CERT-RO de la adresa IP 89.149.8.195.
asta suna ca scanurile de wp_admin 