یک Web Shell با استفاده از یک Zero Day که قبلاً اعلام نشده بود، در سیستم‌های ویندوزی نرم‌افزار نظارت بر شبکه Orion SolarWinds کشف شده است که ممکن است کار یک گروه چینی باشد.
در گزارشی که توسط Secureworks منتشر شد، این شرکت امنیت سایبری نفوذها را به هکری بنام Spiral نسبت داد.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: chinese-hackers.jpg
مشاهده: 13
حجم: 92.3 کیلو بایت

در ۲۲ دسامبر سال ۲۰۲۰ مایکروسافت هشدار داد که گروه جاسوسی دوم ممکن است از نرم‌افزار Orion سوءاستفاده کرده و Backdoor خود را به نام Supernova بر روی سیستم‌های هدف قرار دهد.

این یافته‌ها همچنین توسط تیم امنیت سایبری Palo Alto Networks ‘Unit 42 Team Intelligence Team و GuidePoint Security تأیید شد، هر دو Supernova را یک شل NET. توصیف کردند که با اصلاح ماژول “app_web_logoimagehandler.ashx.b6031896.dll” در SolarWinds Orion اجرا شده است.

این تغییرات با نفوذ به وسیله بروزرسانی برنامه SolarWinds انجام نگرفته است بلکه با استفاده از یک بای‌پس برای احراز هویت در Orion API که تحت عنوان CVE-2020-10148 ردیابی می‌شود، انجام گرفته است و در نتیجه به یک مهاجم اجازه می‌دهد تا دستورات API غیرمجاز را بصورت ریموت اجرا کند.

مایکروسافت خاطرنشان کرد: برخلاف Solorigate [با نام مستعار Sunburst] این DLL مخرب امضای دیجیتالی ندارد، که نشان می‌دهد که ممکن است ارتباطی با حمله SolarWinds نداشته باشد.

در حالی که کمپین Sunburst از آن زمان به طور رسمی با روسیه مرتبط بود، ریشه‌های Supernova تاکنون یک معما باقی مانده بود.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: hacking.jpg
مشاهده: 7
حجم: 129.9 کیلو بایت

به گفته محققان واحد مقابله با تهدید Secureworks (CTU) که این بدافزار را در نوامبر سال ۲۰۲۰ هنگام پاسخ به هک در یکی از شبکه‌های مشتریان خود کشف کرده بودند، ماهیت بدافزار و نحوه حرکت آن در شبکه نشان می‌دهد که Spiral از قبل با جزئیات شبکه آشنایی داشته است.

طی تحقیقات بیشتر این شرکت گفت که شباهت‌هایی را بین این حادثه و فعالیت قبلی که در همان شبکه در آگوست ۲۰۲۰ کشف کرده، پیدا کرده است که با بهره‌برداری از یک آسیب‌پذیری در محصولی معروف به ManageEngine ServiceDesk در اوایل سال ۲۰۱۸ انجام شده بود.

محققان گفتند: محققان CTU در ابتدا قادر به نسبت دادن فعالیت August به هیچ گروه شناخته شده‌ای نبودند. با این حال شباهت‌ها با نفوذ Spiral در اواخر سال ۲۰۲۰ نشان می‌دهد که گروه Spiral مسئول هر دو نفوذ بوده است.

ارتباط با چین از این واقعیت ناشی می‌شود که حملاتی که سرورهای ManageEngine را هدف قرار می‌دهند مدت‌هاست که با گروه‌های نفوذگر مستقر در این کشور در ارتباط هستند.

اما شواهد محکم‌تری به صورت یک آدرس IP که در چین قرار دارد، وجود دارد که به گفته محققان از یک Host که توسط مهاجمان برای اجرای نرم‌افزار Secureworks’s endpoint detection and response (EDR) استفاده شده، بدست آمده است. محققان بر این باورند که این نرم‌افزار از مشتری به سرقت رفته است.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

80

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *