SolarWinds: Το malware Supernova συνδέεται με την κινέζικη ομάδα Spiral

Ένας πιθανός σύνδεσμος με την Κίνα έχει επισημανθεί από ερευνητές που εξετάζουν την εκμετάλλευση των servers της SolarWinds για την ανάπτυξη malware.

Τη Δευτέρα, η μονάδα αντιμετώπισης απειλών (CTU) της Secureworks δήλωσε ότι στα τέλη του 2020, ένας παραβιασμένος server της SolarWinds χρησιμοποιήθηκε ως αφετηρία για την ανάπτυξη του malware Supernova, ενός web shell .NET.

Παρόμοιες παρεμβολές στο ίδιο δίκτυο υποδηλώνουν ότι η κινεζική ομάδα Spiral, μάλλον κινεζικής καταγωγής, ευθύνεται και για τα δύο cases.

Σύμφωνα με τους ερευνητές, το CVE-2020-10148 έχει αξιοποιηθεί ενεργά από την Spiral. Αυτή η ευπάθεια βρίσκεται στο SolarWinds Orion API και περιγράφεται ως σφάλμα παράκαμψης ελέγχου ταυτότητας που οδηγεί στην απομακρυσμένη εκτέλεση εντολών API.

Όταν εντοπίζονται και γίνονται exploit ευάλωτοι servers, αναπτύσσεται ένα script για να γράψει το web shell Supernova στο δίσκο χρησιμοποιώντας μια εντολή PowerShell.

Γραμμένο σε .NET, το Supernova περιγράφεται από το Palo Alto Networks ως ένα προηγμένο web shell που έχει σχεδιαστεί όχι μόνο για να διατηρεί το persistence σε έναν παραβιασμένο υπολογιστή, αλλά είναι επίσης ικανό να συντάξει “μεθόδους, επιχειρήματα και δεδομένα κώδικα” στη μνήμη.

Στην περίπτωση που σημειώνεται από το SecureWorks, το malware Supernova χρησιμοποιείται για την πραγματοποίηση αναγνώρισης, για domain mapping και για κλοπή credential

και πληροφοριών.

Η προηγούμενη εισβολή πραγματοποιήθηκε σε server ManageEngine ServiceDesk, με πρόσβαση που αποκτήθηκε ήδη από το 2018. Σε αυτά τα παραδείγματα, χρησιμοποιήθηκαν τα ίδια commands και προσπελάστηκαν οι ίδιοι servers – ένας domain controller και ένα σύστημα που περιείχε ευαίσθητα επιχειρηματικά δεδομένα – και ένα σύνολο από τρεις παραβιασμένους λογαριασμούς έγιναν hijack και στις δύο επιθέσεις.

Δεν πιστεύεται, ωστόσο, ότι αυτά τα cases συνδέονται με την καταστροφική επίθεση της εφοδιαστικής αλυσίδας SolarWinds που πραγματοποιήθηκε τον Δεκέμβριο του 2020. Οι hackers έθεσαν σε κίνδυνο την αλυσίδα και ανέπτυξαν μια κακόβουλη ενημέρωση του Orion, επηρεάζοντας πάνω από 18.000 οργανισμούς.

Η Microsoft εκτιμά ότι χρειάστηκαν οι συνδυασμένες προσπάθειες τουλάχιστον 1.000 μηχανικών για να ξεπεράσουν την επίθεση και πρόσφατα βρήκαν τρία νέα στελέχη malware (Sunburst/Solorigate, Teardrop και Sunspot) που συνδέονται με την επίθεση.

Πηγή: zdnet.com