یک Web Shell با استفاده از یک Zero Day که قبلاً اعلام نشده بود، در سیستمهای ویندوزی نرمافزار نظارت بر شبکه Orion SolarWinds کشف شده است که ممکن است کار یک گروه چینی باشد.
در گزارشی که توسط Secureworks منتشر شد، این شرکت امنیت سایبری نفوذها را به هکری بنام Spiral نسبت داد.
در ۲۲ دسامبر سال ۲۰۲۰ مایکروسافت هشدار داد که گروه جاسوسی دوم ممکن است از نرمافزار Orion سوءاستفاده کرده و Backdoor خود را به نام Supernova بر روی سیستمهای هدف قرار دهد.
این یافتهها همچنین توسط تیم امنیت سایبری Palo Alto Networks ‘Unit 42 Team Intelligence Team و GuidePoint Security تأیید شد، هر دو Supernova را یک شل NET. توصیف کردند که با اصلاح ماژول “app_web_logoimagehandler.ashx.b6031896.dll” در SolarWinds Orion اجرا شده است.
این تغییرات با نفوذ به وسیله بروزرسانی برنامه SolarWinds انجام نگرفته است بلکه با استفاده از یک بایپس برای احراز هویت در Orion API که تحت عنوان CVE-2020-10148 ردیابی میشود، انجام گرفته است و در نتیجه به یک مهاجم اجازه میدهد تا دستورات API غیرمجاز را بصورت ریموت اجرا کند.
مایکروسافت خاطرنشان کرد: برخلاف Solorigate [با نام مستعار Sunburst] این DLL مخرب امضای دیجیتالی ندارد، که نشان میدهد که ممکن است ارتباطی با حمله SolarWinds نداشته باشد.
در حالی که کمپین Sunburst از آن زمان به طور رسمی با روسیه مرتبط بود، ریشههای Supernova تاکنون یک معما باقی مانده بود.
به گفته محققان واحد مقابله با تهدید Secureworks (CTU) که این بدافزار را در نوامبر سال ۲۰۲۰ هنگام پاسخ به هک در یکی از شبکههای مشتریان خود کشف کرده بودند، ماهیت بدافزار و نحوه حرکت آن در شبکه نشان میدهد که Spiral از قبل با جزئیات شبکه آشنایی داشته است.
طی تحقیقات بیشتر این شرکت گفت که شباهتهایی را بین این حادثه و فعالیت قبلی که در همان شبکه در آگوست ۲۰۲۰ کشف کرده، پیدا کرده است که با بهرهبرداری از یک آسیبپذیری در محصولی معروف به ManageEngine ServiceDesk در اوایل سال ۲۰۱۸ انجام شده بود.
محققان گفتند: محققان CTU در ابتدا قادر به نسبت دادن فعالیت August به هیچ گروه شناخته شدهای نبودند. با این حال شباهتها با نفوذ Spiral در اواخر سال ۲۰۲۰ نشان میدهد که گروه Spiral مسئول هر دو نفوذ بوده است.
ارتباط با چین از این واقعیت ناشی میشود که حملاتی که سرورهای ManageEngine را هدف قرار میدهند مدتهاست که با گروههای نفوذگر مستقر در این کشور در ارتباط هستند.
اما شواهد محکمتری به صورت یک آدرس IP که در چین قرار دارد، وجود دارد که به گفته محققان از یک Host که توسط مهاجمان برای اجرای نرمافزار Secureworks’s endpoint detection and response (EDR) استفاده شده، بدست آمده است. محققان بر این باورند که این نرمافزار از مشتری به سرقت رفته است.
یک نظر