SUPERNOVA Backdoor: A Second APT Group Abused SolarWinds Flaw to Deploy Web Shell Malware

画期的なSolarWindsのサプライチェーン攻撃に関する新しい詳細が明るみに出た。 リサーチ Microsoftからの研究によると、別の独立したAPTアクターがSolarWinds Orionの侵害に関与している可能性があります。特に、サイバー犯罪者は新たに発見されたゼロデイバグを利用して、ターゲットとなったインスタンスにSUPERNOVAバックドアを感染させました。

SolarWinds Orionソフトウェアの新たなゼロデイ脆弱性 (CVE-2020-10148)

この脆弱性は、2020年12月25日付けの専用のCERT Coordination Center勧告において公表されました 勧告。研究者は、これはリモートでAPIコマンドを実行しSUPERNOVAバックドアを配備するために利用された認証バイパスの問題（CVE-2020-10148）であることを明らかにしています。この脆弱性は、SolarWindsサーバーへのURLリクエストのRequest.PathInfo部分に特別なパラメーターを追加することでAPI認証バイパスを可能にします。この方法で、無許可のハッカーはSkipAuthorizationフラグを設定し、APIリクエストの処理を開始することができるのです。.

SUPERNOVAバックドア技術概要

Unit 42の分析者 は証拠を提供しています SUPERNOVAバックドアが高度かつステルスな.NET Webシェルマルウェアであり、偵察と横移動を目的とした複雑な.NETプログラムを展開できることを示しています。マルウェアは正当な.NETライブラリである”app_web_logoimagehandler.ashx.b6031896.dll”を修正することでSolarWinds Orionシステムに挿入されました。実際には、認証DLLに4つの追加パラメータ（codes、clazz、method、args）が追加され、サーバーから任意のコマンドを送信し、サーバーユーザーの高い特権でインメモリで実行することを許しました。 

SUPERNOVAはDynamicRunメソッドに依存して、前述の4つのパラメータをその場で.NETアセンブリにコンパイルし、Orionホストで実行します。このアプローチにより、ハッカーはディスクに記録される悪意あるアーティファクトを生じさせることなく、検出を回避することができました。 

特に、アナリストはSUPERNOVA WebシェルがSUNBURSTハッカーとは無関係な別のAPTグループによって植え付けられたと信じています。そのような仮定は、トロイの木馬化された.NET DLLにデジタル署名がなく、SUNBURSTに関連するDLLにはデジタル署名があるという事実によって裏付けられています。

攻撃検出と緩和のためのアクション

新しいSolarWindsゼロデイバグは2020年12月23日に対処されたため、ユーザーはソフトウェアを安全なバージョンに更新することが求められています。アップグレードが不可能な場合、 Solarwindsセキュリティアドバイザリ を確認して、関連する緩和策について詳しく学んでください。

また、2020年12月14日以来、当社のThreat Detection Marketplaceで提供されているSOC Primeチームによって開発されたプロアクティブSUPERNOVAバックドア検出用のSigmaルールを適用することができます。 

https://tdm.socprime.com/tdm/info/QSO2ai3DAIUw/3WLCX3YBTwmKwLA9I6bl/

ルールは以下のプラットフォーム向けに翻訳されています。 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio

EDR: Carbon Black

NTA: Corelight

MITRE ATT&CK: 

戦術: 初期アクセス

技法: サプライチェーン侵害 (T1195)

Threat Detection Marketplaceへの有料アクセスがない場合、コミュニティサブスクリプションの下で無料トライアルをアクティブ化して、SUPERNOVA Webシェルに関連するSigmaルールをアンロックすることができます。SolarWinds Orionソフトウェアの侵害に関連するその他のルールは、当社のブログ記事で見つけることができます。そこでは FireEye侵害 and SUNBURSTバックドア の分析に専念しています。

より効率的な攻撃検出のために、より多くの精選されたSOCコンテンツを確認するために Threat Detection Marketplace に無料で登録してください。独自のSigmaルールを作成し、サイバー脅威検出の取り組みに貢献したいと感じていますか？ Threat Bounty Programに参加してください！