SUPERNOVA Puerta Trasera: Un Segundo Grupo APT Abusó de la Vulnerabilidad de SolarWinds para Desplegar Malware de Web Shell

[post-views]
diciembre 28, 2020 · 3 min de lectura
SUPERNOVA Puerta Trasera: Un Segundo Grupo APT Abusó de la Vulnerabilidad de SolarWinds para Desplegar Malware de Web Shell

Nuevos detalles relacionados con el ataque de la cadena de suministro de SolarWinds, que marcó una época, salieron a la luz. Investigación de Microsoft indica que otro actor APT independiente podría haber tenido participación en el compromiso de SolarWinds Orion. En particular, los ciberdelincuentes utilizaron una vulnerabilidad de día cero recién descubierta para infectar instancias dirigidas con el backdoor SUPERNOVA.

Nueva Vulnerabilidad ZeroDay en el Software SolarWinds Orion (CVE-2020-10148)

La vulnerabilidad fue divulgada el 25 de diciembre de 2020 en un Centro de Coordinación CERT dedicado consejo. Los investigadores revelan que es un problema de omisión de autenticación (CVE-2020-10148) que se utilizó para ejecutar comandos API de forma remota y desplegar el backdoor SUPERNOVA. La vulnerabilidad permite la omisión de autenticación API agregando parámetros especiales a la parte Request.PathInfo de una solicitud URL al servidor SolarWinds. De esta manera, los hackers no autorizados pueden establecer el flag SkipAuthorization y lanzar el procesamiento de solicitudes API.

Visión Técnica del Backdoor SUPERNOVA

Los analistas de Unit 42 proveen evidencia de que el backdoor SUPERNOVA es un malware de shell web .NET altamente sofisticado y sigiloso, capaz de desplegar programas .NET complejos dirigidos a reconocimiento y movimiento lateral. El malware fue insertado en los sistemas SolarWinds Orion mediante la modificación de la biblioteca .NET legítima «app_web_logoimagehandler.ashx.b6031896.dll». De hecho, se añadieron cuatro parámetros adicionales (codes, clazz, method, args) al DLL auténtico. Estas pequeñas adiciones permitieron a los adversarios enviar comandos arbitrarios desde el servidor y ejecutarlos en la memoria con los altos privilegios de un usuario del servidor.

SUPERNOVA se basa en el método DynamicRun para compilar sobre la marcha los cuatro parámetros mencionados en un ensamblaje .NET y ejecutarlos en el host Orion. Tal enfoque permitió a los hackers evadir la detección ya que no se registran artefactos maliciosos en el disco.

Notablemente, los analistas creen que el shell web SUPERNOVA fue implantado por un grupo APT diferente, que no está relacionado con los hackers de SUNBURST. Tal suposición se sustenta en el hecho de que el DLL troyanizado .NET carece de una firma digital, mientras que los DLL relacionados con SUNBURST sí la tienen.

Detección de Ataques y Acciones de Mitigación

El nuevo error de día cero de SolarWinds fue abordado el 23 de diciembre de 2020, por lo que se insta a los usuarios a actualizar su software a las versiones seguras. En caso de que la actualización sea imposible, consulte el consejo de seguridad de Solarwinds para aprender más sobre los pasos relevantes de mitigación.

Además, puede aplicar una regla Sigma para la detección proactiva del backdoor SUPERNOVA, la cual fue desarrollada por el equipo de SOC Prime y está disponible en nuestro mercado de Detección de Amenazas desde el 14 de diciembre de 2020:

https://tdm.socprime.com/tdm/info/QSO2ai3DAIUw/3WLCX3YBTwmKwLA9I6bl/

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio

EDR: Carbon Black

NTA: Corelight

MITRE ATT&CK:

Tácticas: Acceso Inicial

Técnicas: Compromiso de la Cadena de Suministro (T1195)

En caso de que no tenga acceso pagado al Mercado de Detección de Amenazas, puede activar su prueba gratuita bajo una suscripción comunitaria para desbloquear la regla Sigma relacionada con el shell web SUPERNOVA. Más reglas asociadas con el compromiso del software SolarWinds Orion puede encontrarlas en nuestras publicaciones de blog dedicadas al brecha de FireEye and backdoor SUNBURST análisis.

Suscríbase al Mercado de Detección de Amenazas gratuitamente para consultar más contenido curado de SOC para una detección eficiente de ataques. ¿Se siente listo para crear sus propias reglas Sigma y contribuir a las iniciativas de detección de amenazas cibernéticas? Únase a nuestro Programa de Recompensas de Amenazas

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI 2 min de lectura Plataforma SOC Prime La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI by Steven Edwards Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko
Todas las noticias