安全研究公司:第二个黑客小组针对具有不同恶意软件的SolarWinds系统,可能与针对Orion应用的“ Sunburst”代码无关

2020-12-22 02:59:05

由于在SolarWinds供应链攻击后逐渐发现了法证证据,安全研究人员发现了第二个威胁参与者,该威胁参与者利用SolarWinds软件在公司和政府网络上植入了恶意软件。

关于该第二威胁行为者的详细信息仍然很少,但是安全研究人员并不认为该第二实体与俄罗斯政府支持的可疑黑客有关,这些黑客违反了SolarWinds在其官方Orion应用程序中插入恶意软件。

原始攻击中使用的恶意软件代号为Sunburst(或Solorigate),已作为Orion应用程序的诱骗更新分发给SolarWinds客户。

在受感染的网络上,该恶意软件会对其创建者执行ping操作,然后下载名为Teardrop的第二阶段后门特洛伊木马程序,该木马程序使攻击者可以启动键盘上的手动会话,也称为人为攻击。

但是在公开披露SolarWinds黑客事件后的头几天,初步报告提到了两个第二阶段有效载荷。

Guidepoint,赛门铁克和Palo Alto Networks的报告详细介绍了攻击者如何植入名为Supernova的.NET Web Shell。

安全研究人员认为攻击者正在使用Supernova Web Shell下载,编译和执行恶意Powershell脚本(有人将其命名为CosmicGale)。

但是,在Microsoft安全团队的后续分析中,现在已经弄清楚了Supernova Web Shell不是原始攻击链的一部分。

在SolarWinds装置上发现超新星的公司需要将此事件视为单独的攻击。

根据Microsoft安全分析师Nick Carr在GitHub上发布的一篇文章,超新星Web外壳似乎植入了SolarWinds Orion安装中,这些安装一直在线暴露,未打补丁且容易受到跟踪为CVE-2019-8917的漏洞的攻击。

这是对webshel​​l的出色分析!但是,SUPERNOVA& COSMICGALE与该入侵活动无关。您绝对应该单独研究它们,因为它们很有趣-但不要让它分散了SUNBURST的入侵。详细信息:https://t.co/6FA6VlABV3

-尼克·卡尔(@ItsReallyNick)2020年12月17日

超新星与Sunburst + Teardrop攻击链有关的困惑来自这样一个事实,即与Sunburst一样,Supernova被伪装成Orion应用程序的DLL-Sunburst隐藏在SolarWinds.Orion.Core.BusinessLayer.dll文件和App_Web_logoimagehandler.ashx.b6031896.dll中的超新星。

但是在12月18日星期五晚间发布的分析中,微软表示与Sunburst DLL不同,Supernova DLL没有使用合法的SolarWinds数字证书进行签名。

对于攻击者来说,超新星没有签名这一事实被认为是极其不典型的,在那之前攻击者表现出很高的复杂性,并在操作中注重细节。 其中包括SolarWinds未检测到的花费数月的时间。 内部网络,预先向Orion应用程序添加虚拟缓冲区代码,以掩盖其后再添加恶意代码,并掩盖其恶意代码以使其看起来像SolarWinds开发人员自己编写的一样。 所有这些似乎都是一个巨大的错误,最初的攻击者是不会犯的,因此,微软认为该恶意软件与原始的SolarWinds供应链攻击无关。