Un web shell malicioso implementado en sistemas Windows y aprovechando un ZeroDay previamente no revelado en el software de monitoreo de red Orion de SolarWinds, pudo haber sido el trabajo de un grupo de amenazas chino.
Un shell web malicioso implementado en sistemas Windows aprovechando un día cero previamente no revelado en el software de monitoreo de red Orion de SolarWinds puede haber sido el trabajo de un posible grupo de amenazas chino.
En un informe publicado por Secureworks el lunes, la firma de ciberseguridad atribuyó las intrusiones a un actor de amenazas al que llama Spiral.
El 22 de diciembre de 2020, Microsoft reveló que un segundo grupo de espionaje podría haber estado abusando del software Orion del proveedor de infraestructura de TI para colocar una puerta trasera persistente llamada Supernova en los sistemas de destino.
Los hallazgos también fueron corroborados por el equipo de inteligencia de amenazas de la Unidad 42 de las firmas de ciberseguridad Palo Alto Networks y GuidePoint Security , quienes describieron Supernova como un shell web .NET implementado mediante la modificación de un módulo «app_web_logoimagehandler.ashx.b6031896.dll» de SolarWinds Orion. solicitud.
Las alteraciones fueron posibles no al violar la infraestructura de actualización de la aplicación SolarWinds, sino al aprovechar una vulnerabilidad de omisión de autenticación en la API de Orion rastreada como CVE-2020-10148 , lo que a su vez permite que un atacante remoto ejecute comandos de API no autenticados.
«A diferencia de Solorigate [también conocido como Sunburst], esta DLL maliciosa no tiene una firma digital, lo que sugiere que esto puede no estar relacionado con el compromiso de la cadena de suministro», señaló Microsoft.
Si bien desde entonces la campaña Sunburst se ha vinculado formalmente a Rusia , los orígenes de Supernova seguían siendo un misterio hasta ahora.
Según los investigadores de Secureworks Counter Threat Unit (CTU), que descubrieron el malware en noviembre de 2020 mientras respondían a un ataque en una de las redes de sus clientes, «la naturaleza inmediata y dirigida del movimiento lateral sugiere que Spiral tenía conocimiento previo de la red. . «
Durante el curso de una investigación adicional, la firma dijo que encontró similitudes entre el incidente y el de una actividad de intrusión previa en la misma red descubierta en agosto de 2020, que se había logrado explotando una vulnerabilidad en un producto conocido como ManageEngine ServiceDesk tan pronto como 2018.
«Los investigadores de CTU inicialmente no pudieron atribuir la actividad de agosto a ningún grupo de amenaza conocido», dijeron los investigadores. «Sin embargo, las siguientes similitudes con la intrusión Spiral a finales de 2020 sugieren que el grupo de amenazas Spiral fue responsable de ambas intrusiones».
La conexión con China se debe al hecho de que los ataques dirigidos a los servidores de ManageEngine se han asociado durante mucho tiempo con grupos de amenazas ubicados en el país, sin mencionar el modus operandi de explotar la persistencia a largo plazo para recopilar credenciales, exfiltrar datos confidenciales y saquear la propiedad intelectual.
Pero llegaron pruebas más sólidas en forma de una dirección IP que se geolocalizó en China, que según los investigadores provenía de un host que los atacantes utilizaron para ejecutar el software de detección y respuesta de endpoints (EDR) de Secureworks por razones más conocidas por el actor de amenazas. , lo que sugiere que el software puede haber sido robado del cliente comprometido.
«El grupo de amenazas probablemente descargó el instalador del agente de punto final de la red y lo ejecutó en la infraestructura administrada por el atacante», detallaron los investigadores. «La exposición de la dirección IP probablemente no fue intencional, por lo que su geolocalización respalda la hipótesis de que el grupo de amenazas Spiral opera fuera de China».
Vale la pena señalar que SolarWinds abordó Supernova en una actualización de Orion Platform lanzada el 23 de diciembre de 2020.
