SUPERNOVA-Hintertür: Eine zweite APT-Gruppe nutzte SolarWinds-Schwachstelle aus, um Web-Shell-Malware zu installieren

[post-views]
Dezember 28, 2020 · 3 min zu lesen
SUPERNOVA-Hintertür: Eine zweite APT-Gruppe nutzte SolarWinds-Schwachstelle aus, um Web-Shell-Malware zu installieren

Neue Details im Zusammenhang mit dem bahnbrechenden SolarWinds Supply-Chain-Angriff sind ans Licht gekommen. Forschung von Microsoft deutet darauf hin, dass ein weiterer unabhängiger APT-Akteur möglicherweise an der SolarWinds Orion Kompromittierung beteiligt war. Insbesondere nutzten Cyberkriminelle einen neu entdeckten Zero-Day-Bug, um gezielte Instanzen mit dem SUPERNOVA-Backdoor zu infizieren.

Neue Zero-Day-Schwachstelle in SolarWinds Orion Software (CVE-2020-10148)

Die Schwachstelle wurde am 25. Dezember 2020 im dedizierten CERT Coordination Center offengelegt Beratung. Die Forscher enthüllen, dass es sich um ein Problem mit der Authentifizierungsumgehung (CVE-2020-10148) handelt, das verwendet wurde, um API-Befehle aus der Ferne auszuführen und das SUPERNOVA-Backdoor einzusetzen. Die Schwachstelle ermöglicht die Umgehung der API-Authentifizierung, indem spezielle Parameter zum Request.PathInfo-Teil einer URL-Anfrage an den SolarWinds-Server hinzugefügt werden. Auf diese Weise können unbefugte Hacker das SkipAuthorization-Flag setzen und die Verarbeitung von API-Anfragen starten.

SUPERNOVA Backdoor Technische Übersicht

Unit 42-Analysten liefern Beweise dafür, dass der SUPERNOVA-Backdoor eine hochentwickelte und verdeckte .NET-Webshell-Malware ist, die in der Lage ist, komplexe .NET-Programme für Aufklärung und laterale Bewegungen bereitzustellen. Die Malware wurde in SolarWinds Orion-Systemen platziert, indem die legitime .NET-Bibliothek „app_web_logoimagehandler.ashx.b6031896.dll“ modifiziert wurde. Tatsächlich wurden vier zusätzliche Parameter (codes, clazz, method, args) zur authentischen DLL hinzugefügt. Diese kleinen Ergänzungen ermöglichten es den Angreifern, beliebige Befehle vom Server zu senden und diese im Speicher mit den hohen Privilegien eines Serverbenutzers auszuführen. 

SUPERNOVA stützt sich auf die DynamicRun-Methode, um die genannten vier Parameter spontan in eine .NET-Assembly zu kompilieren und sie auf dem Orion-Host auszuführen. Ein solcher Ansatz ermöglichte es den Hackern, der Erkennung zu entgehen, da keine bösartigen Artefakte auf der Festplatte aufgezeichnet werden. 

Bemerkenswerterweise glauben Analysten, dass die SUPERNOVA-Webshell von einer anderen APT-Gruppe implantiert wurde, die nicht mit den SUNBURST-Hackern in Verbindung steht. Eine solche Annahme wird durch die Tatsache gestützt, dass die trojanisierte .NET-DLL keine digitale Signatur aufweist, während DLLs, die mit SUNBURST in Verbindung stehen, solche besitzen.

Angriffserkennungs- und Minderungshandlungen

Der neue SolarWinds Zero-Day-Bug wurde am 23. Dezember 2020 angesprochen, daher werden die Benutzer aufgefordert, ihre Software auf die sicheren Versionen zu aktualisieren. Falls das Upgrade nicht möglich ist, überprüfen Sie die Solarwinds Sicherheitsberatung , um mehr über relevante Minderungsmaßnahmen zu erfahren.

Außerdem können Sie eine Sigma-Regel für die proaktive Erkennung des SUPERNOVA-Backdoors anwenden, die vom SOC Prime-Team entwickelt wurde und seit dem 14. Dezember 2020 auf unserem Threat Detection Marketplace verfügbar ist: 

https://tdm.socprime.com/tdm/info/QSO2ai3DAIUw/3WLCX3YBTwmKwLA9I6bl/

Die Regel hat Übersetzungen für die folgenden Plattformen: 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio

EDR: Carbon Black

NTA: Corelight

MITRE ATT&CK: 

Taktiken: Erste Zugang

Techniken: Supply-Chain-Kompromiss (T1195)

Falls Sie keinen bezahlten Zugang zum Threat Detection Marketplace haben, können Sie Ihr kostenloses Testabo im Rahmen eines Community-Abonnements aktivieren, um die Sigma-Regel im Zusammenhang mit der SUPERNOVA-Webshell freizuschalten. Weitere Regeln im Zusammenhang mit der SolarWinds Orion Software-Kompromittierung finden Sie in unseren Blog-Beiträgen, die der FireEye Verletzung and SUNBURST Backdoor Analyse gewidmet sind.

Abonnieren Sie den Threat Detection Marketplace kostenlos, um mehr kuratierte SOC-Inhalte für eine effiziente Angriffserkennung zu erhalten. Fühlen Sie sich bereit, Ihre eigenen Sigma-Regeln zu erstellen und zu den Initiativen der Erkennung von Cyberbedrohungen beizutragen? Treten Sie unserem Threat Bounty Programmbei! 

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung 2 min zu lesen SOC Prime Plattform Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung by Steven Edwards XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Telychko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Telychko
Alle Nachrichten