Porte dérobée SUPERNOVA : Un deuxième groupe APT a exploité une faille SolarWinds pour déployer un malware de type Web Shell

[post-views]
décembre 28, 2020 · 4 min de lecture
Porte dérobée SUPERNOVA : Un deuxième groupe APT a exploité une faille SolarWinds pour déployer un malware de type Web Shell

De nouveaux détails concernant l’attaque historique de la chaîne d’approvisionnement SolarWinds ont été révélés. Recherche de Microsoft indique qu’un autre acteur APT indépendant pourrait être impliqué dans la compromission de SolarWinds Orion. En particulier, des cybercriminels ont utilisé un bogue nouvellement découvert pour infecter des instances ciblées avec la porte dérobée SUPERNOVA.

Nouvelle vulnérabilité ZeroDay dans le logiciel SolarWinds Orion (CVE-2020-10148)

La vulnérabilité a été divulguée le 25 décembre 2020 dans un Centre de Coordination CERT dédié avis. Les chercheurs révèlent qu’il s’agit d’un problème de contournement de l’authentification (CVE-2020-10148) qui a été utilisé pour exécuter des commandes API à distance et déployer la porte dérobée SUPERNOVA. La vulnérabilité permet un contournement de l’authentification API en ajoutant des paramètres spéciaux à la partie Request.PathInfo d’une requête URL au serveur SolarWinds. De cette manière, les pirates non autorisés peuvent définir le drapeau SkipAuthorization et lancer le traitement des requêtes API.

Aperçu technique de la porte dérobée SUPERNOVA

Les analystes de l’Unité 42 fournissent des preuves que la porte dérobée SUPERNOVA est un malware web shell .NET hautement sophistiqué et furtif capable de déployer des programmes .NET complexes visant la reconnaissance et les mouvements latéraux. Le malware a été inséré dans les systèmes SolarWinds Orion en modifiant la bibliothèque .NET légitime « app_web_logoimagehandler.ashx.b6031896.dll. » En fait, quatre paramètres supplémentaires (codes, clazz, method, args) ont été ajoutés à la DLL authentique. Ces ajouts subtils ont permis aux adversaires d’envoyer des commandes arbitraires depuis le serveur et de les exécuter en mémoire avec les privilèges élevés d’un utilisateur du serveur. 

SUPERNOVA s’appuie sur la méthode DynamicRun pour compiler les quatre paramètres mentionnés en un assemblage .NET à la volée et les exécuter sur l’hôte Orion. Cette approche a permis aux pirates d’éviter la détection puisque aucun artefact malveillant n’est enregistré sur le disque. 

Notamment, les analystes pensent que la web shell SUPERNOVA a été implantée par un groupe APT différent, qui n’est pas lié aux pirates SUNBURST. Une telle hypothèse est soutenue par le fait que la DLL .NET trojanisée n’a pas de signature numérique, alors que les DLL liées à SUNBURST en ont.

Détection des attaques et actions d’atténuation

Le nouveau bogue zero-day de SolarWinds a été traité le 23 décembre 2020, il est donc conseillé aux utilisateurs de mettre à jour leur logiciel vers les versions sûres. En cas d’impossibilité de mise à jour, consultez l’ avis de sécurité Solarwinds pour en savoir plus sur les étapes d’atténuation pertinentes.

Vous pouvez également appliquer une règle Sigma pour la détection proactive de la porte dérobée SUPERNOVA, qui a été développée par l’équipe SOC Prime et est disponible sur notre marketplace pour la détection des menaces depuis le 14 décembre 2020: 

https://tdm.socprime.com/tdm/info/QSO2ai3DAIUw/3WLCX3YBTwmKwLA9I6bl/

La règle a des traductions pour les plateformes suivantes: 

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio

EDR : Carbon Black

NTA : Corelight

MITRE ATT&CK: 

Tactiques : Accès Initial

Techniques : Compromission de chaîne d’approvisionnement (T1195)

Si vous n’avez pas accès au Threat Detection Marketplace, vous pouvez activer votre essai gratuit sous un abonnement communautaire pour débloquer la règle Sigma relative à la web shell SUPERNOVA. Vous trouverez d’autres règles associées à la compromission du logiciel SolarWinds Orion dans nos articles de blog dédiés à violation de FireEye and porte dérobée SUNBURST analyse.

Abonnez-vous au Threat Detection Marketplace gratuitement pour consulter davantage de contenu SOC sélectionné pour une détection efficace des attaques. Prêt à créer vos propres règles Sigma et à contribuer aux initiatives de détection des cybermenaces ? Rejoignez notre programme de récompense Threat Bounty

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande 3 min de lecture Plateforme SOC Prime Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande by Steven Edwards Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Telychko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Telychko
Toutes les actualités