SolarWinds Supernova


Security




SolarWinds


Το malware Supernova συνδέεται με την κινέζικη ομάδα Spiral

Ένας πιθανός σύνδεσμος με την



Κίνα

έχει επισημανθεί από ερευνητές που εξετάζουν την



εκμετάλλευση

των



servers

της



SolarWinds

για την ανάπτυξη



malware

.

Τη Δευτέρα, η μονάδα αντιμετώπισης απειλών (CTU) της Secureworks δήλωσε ότι στα τέλη του 2020, ένας παραβιασμένος server της



SolarWinds

χρησιμοποιήθηκε ως αφετηρία για την ανάπτυξη του



malware

Supernova, ενός web shell .NET.

solarwinds 2 - Το malware Supernova συνδέεται με την κινέζικη ομάδα Spiral

Παρόμοιες παρεμβολές στο ίδιο δίκτυο υποδηλώνουν ότι η κινεζική ομάδα Spiral, μάλλον κινεζικής καταγωγής, ευθύνεται και για τα δύο cases.

Σύμφωνα με τους ερευνητές, το CVE-2020-10148 έχει αξιοποιηθεί ενεργά από την Spiral. Αυτή η



ευπάθεια

βρίσκεται στο



SolarWinds

Orion API και περιγράφεται ως σφάλμα παράκαμψης ελέγχου ταυτότητας που οδηγεί στην απομακρυσμένη εκτέλεση εντολών API.

Όταν εντοπίζονται και γίνονται exploit ευάλωτοι



servers

, αναπτύσσεται ένα



script

για να γράψει το web shell Supernova στο δίσκο χρησιμοποιώντας μια εντολή PowerShell.

Γραμμένο σε .NET, το Supernova περιγράφεται από το Palo Alto

Networks

ως ένα προηγμένο web shell που έχει σχεδιαστεί όχι μόνο για να διατηρεί το persistence σε έναν παραβιασμένο υπολογιστή, αλλά είναι επίσης ικανό να συντάξει “μεθόδους, επιχειρήματα και δεδομένα κώδικα” στη μνήμη.

Στην περίπτωση που σημειώνεται από το SecureWorks, το



malware

Supernova χρησιμοποιείται για την πραγματοποίηση αναγνώρισης, για domain mapping και για κλοπή credential και πληροφοριών.

Η προηγούμενη εισβολή πραγματοποιήθηκε σε server ManageEngine ServiceDesk, με πρόσβαση που αποκτήθηκε ήδη από το 2018. Σε αυτά τα παραδείγματα, χρησιμοποιήθηκαν τα ίδια commands και προσπελάστηκαν οι ίδιοι

servers

– ένας domain controller και ένα σύστημα που περιείχε ευαίσθητα επιχειρηματικά δεδομένα – και ένα σύνολο από τρεις παραβιασμένους



λογαριασμούς

έγιναν hijack και στις δύο



επιθέσεις

.

Δεν πιστεύεται, ωστόσο, ότι αυτά τα cases συνδέονται με την καταστροφική



επίθεση

της εφοδιαστικής αλυσίδας



SolarWinds

που πραγματοποιήθηκε τον Δεκέμβριο του 2020. Οι



hackers

έθεσαν σε κίνδυνο την αλυσίδα και ανέπτυξαν μια κακόβουλη

ενημέρωση

του Orion, επηρεάζοντας πάνω από 18.000 οργανισμούς.

Η



Microsoft

εκτιμά ότι χρειάστηκαν οι συνδυασμένες προσπάθειες τουλάχιστον 1.000 μηχανικών για να ξεπεράσουν την



επίθεση

και πρόσφατα βρήκαν τρία νέα στελέχη



malware

(Sunburst/Solorigate, Teardrop και Sunspot) που συνδέονται με την



επίθεση

.

Πηγή: zdnet.com


Related Posts


Οι χάκερς της SolarWinds «χτύπησαν» τη NASA και την FAA!…



Οι ΗΠΑ θα «απαντήσουν» σύντομα στο hack της SolarWinds!…



Οι χάκερ είχαν πρόσβαση στον πηγαίο κώδικα τρίων προϊόντων

Google News - Το malware Supernova συνδέεται με την κινέζικη ομάδα Spiral

Πατήστ


ε

εδώ

και ακολουθήστε το


TechWar.gr στο Google News


για να μάθετε πρώτοι όλες τις


ειδήσεις τεχνολογίας.


Πηγή






Λάβετε ενημερώσεις σε πραγματικό χρόνο απευθείας στη συσκευή σας, εγγραφείτε τώρα.



Μπορεί επίσης να σας αρέσει


adobe photoshop




Nikon – Ανανεώνει το λογισμικό της και ενοποιεί το Capture NX-D με το NX Studio



e-commerce




Πώς να προστατεύσετε e-commerce sites από client-side επιθέσεις;



Security




Μεγάλη προσοχή: Απάτη με δήθεν τηλεφωνική κλήση από τη Microsoft



access




WhatsApp – Εκτεθειμένα παραμένουν τα αντίγραφα ασφαλείας


Σχολιάστε το Άρθρο



Ακύρωση απάντησης

Η διεύθυνση email σας δεν θα δημοσιευθεί.








Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια.

Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας

.