援引外媒ZDNet報導在對SolarWinds黑客事件深度調查中，微軟通過和一家科技聯盟合作查封並沉洞了在本次事件中扮演核心角色的域名。該域名是avsvmcloud[.]com，作為惡意軟件的命令和控制(C&C)服務器，通過該公司的Orion應用程序的木馬化更新交付給約18000名SolarWinds客戶。

在2020 年3-6 月期間，SolarWinds Orion 更新了2019.4 到202.2.1 版本，其中均包含名為SUNBURST（也稱為Solorigate）的惡意軟件。一旦安裝在計算機上，該惡意軟件會休眠12-14 天，然後ping avsvmcloud[.]com 的一個子域。

根據安全公司FireEye的分析，C&C域名會回復一個包含CNAME字段的DNS響應，其中包含另一個域名的信息，SUNBURST惡意軟件會從那裡獲得進一步的指令和額外的有效載荷，以便在受感染公司的網絡上執行。

今天早些時候，一個科技公司聯盟查封並下架了avsvmcloud[.]com，將該域名轉入微軟所有。熟悉今天行動的消息人士將此次查封描述為”保護性工作”，目的是防止SolarWinds黑客背後的威脅行為者向受感染的計算機交付新的訂單。