SUPERNOVA Backdoor: Un Secondo Gruppo APT Ha Sfruttato la Vulnerabilità di SolarWinds per Distribuire il Malware Web Shell
Indice:
Nuovi dettagli relativi all’attacco storico alla catena di approvvigionamento di SolarWinds sono emersi. Ricerca di Microsoft indica che un altro attore APT indipendente potrebbe essere coinvolto nella compromissione di SolarWinds Orion. In particolare, i criminali informatici hanno utilizzato una vulnerabilità zero-day di recente scoperta per infettare le istanze mirate con il backdoor SUPERNOVA.
Nuova Vulnerabilità ZeroDay nel Software SolarWinds Orion (CVE-2020-10148)
La vulnerabilità è stata divulgata il 25 dicembre 2020 nel CERT Coordination Center dedicato avviso. I ricercatori rivelano che si tratta di un problema di bypass dell’autenticazione (CVE-2020-10148) utilizzato per eseguire comandi API da remoto e distribuire il backdoor SUPERNOVA. La vulnerabilità consente di bypassare l’autenticazione API aggiungendo parametri speciali alla parte Request.PathInfo di una richiesta URL al server SolarWinds. In questo modo, gli hacker non autorizzati possono impostare il flag SkipAuthorization e avviare l’elaborazione delle richieste API.
Panoramica Tecnica del Backdoor SUPERNOVA
Gli analisti di Unit 42 forniscono prove che il backdoor SUPERNOVA è un malware web shell .NET altamente sofisticato e furtivo in grado di distribuire programmi .NET complessi mirati al ricognizione e al movimento laterale. Il malware è stato inserito nei sistemi SolarWinds Orion modificando la legittima libreria .NET “app_web_logoimagehandler.ashx.b6031896.dll.” Infatti, sono stati aggiunti quattro parametri aggiuntivi (codes, clazz, method, args) al DLL autentico. Queste piccole aggiunte hanno permesso agli avversari di inviare comandi arbitrari dal server ed eseguirli in memoria con i privilegi elevati di un utente del server.
SUPERNOVA si basa sul metodo DynamicRun per compilare i quattro parametri menzionati in un’assembly .NET al volo ed eseguirli sull’host Orion. Tale approccio ha permesso agli hacker di evitare il rilevamento poiché nessun artefatto malevolo viene registrato su disco.
Notoriamente, gli analisti credono che il web shell SUPERNOVA sia stato impiantato da un gruppo APT diverso, non correlato agli hacker di SUNBURST. Tale ipotesi è supportata dal fatto che il DLL .NET trojanizzato manca di una firma digitale, mentre i DLL relativi a SUNBURST hanno firme digitali.
Rilevamento e Mitigazione degli Attacchi
Il nuovo bug zero-day di SolarWinds è stato affrontato il 23 dicembre 2020, quindi gli utenti sono invitati a promuovere il loro software alle versioni sicure. Nel caso in cui l’aggiornamento non sia possibile, controllare il avviso di sicurezza Solarwinds per saperne di più sui passi di mitigazione rilevanti.
Inoltre, potresti applicare una regola Sigma per il rilevamento proattivo del backdoor SUPERNOVA, sviluppata dal team SOC Prime e disponibile nel nostro marketplace di Threat Detection dal 14 dicembre 2020:
https://tdm.socprime.com/tdm/info/QSO2ai3DAIUw/3WLCX3YBTwmKwLA9I6bl/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio
EDR: Carbon Black
NTA: Corelight
MITRE ATT&CK:
Tattiche: Accesso Iniziale
Tecniche: Compromissione della Catena di Fornitura (T1195)
Nel caso non si disponga di un accesso a pagamento al Marketplace di Threat Detection, è possibile attivare una prova gratuita con un abbonamento alla community per sbloccare la regola Sigma relativa al web shell SUPERNOVA. Altre regole associate alla compromissione del software SolarWinds Orion puoi trovarle nei nostri post del blog dedicati all’ incidente FireEye and backdoor SUNBURST analisi.
Iscriviti al Marketplace di Threat Detection gratuitamente per controllare più contenuti SOC curati per un’efficace rilevazione degli attacchi. Ti senti pronto a creare le tue regole Sigma e contribuire alle iniziative di rilevazione delle minacce informatiche? Unisciti al nostro Programma di Ricompensa delle Minacce!
