又有新的黑客组织盯上了SolarWinds 系统

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

就在 SolarWinds 供应链攻击的取证证据慢慢浮出水面之时，安全研究员发现又有一个黑客组织利用 SolarWinds 软件在企业和政府网络中植入恶意软件。

虽然关于这个新的黑客组织的详情仍然很少，但安全研究员认为和疑似俄罗斯国家黑客组织之间并不存在关联。俄罗斯国家黑客组织攻陷了 SolarWinds，通过有陷阱的 app 更新将恶意软件 Sunburst （或 Solorigate）插入其官方 Orion app 中。在受感染网络中，Sunburst 将 ping 其创建者并下载第二阶段后门木马 Teardrop，然而进入手动攻击阶段。

在 SolarWinds 被黑事件公开后的最初几天，报告提到了两个阶段的 payload。Guidepoint、赛门铁克和 Palo Alto Networks 公司都详述了攻击者如何植入一个 .NET web shell，“Supernova”。安全研究员认为攻击者使用 Supernova Web shell 下载、编译并执行 Powershell 恶意脚本（有些人称之为 CosmicGale）。然而，微软安全团队之后分析澄清，Supernova 并非原始攻击链的一部分。

因此，从 SolarWinds 程序中发现 Supernova 的企业应当将其当作另外一起攻击。

微软安全分析师 Nick Carr 在 GitHub 上发布文章表示，Supernova Web shell 上似乎被植入 SolarWinds Orion 程序中。这些程序被暴露在网上，且遭类似于 CVE-2019-8917 的漏洞 exploit 的攻陷。

Supernova 和 Sunburst + Teardrop 攻击的关系令人困惑的地方在于，和 Sunburst 一样，Supernova 被伪装成 Orion app 的一个 DLL：Sunburst 隐藏在 SolarWinds.Orion.Core.BusinessLayer.dll 文件中，而 Supernova 隐藏在 App_Web_logoimagehandler.ashx.b6031896.dll 中。

但在12月18日的分析文章中，微软指出，不同于 Sunburst DLL，Supernova DLL 并未以合法的 SolarWinds 数字证书签名。这一现象被视作攻击者极其反常态的做法，攻击者之后才展现出非常高的复杂性和专注性。如花费数月的时间隐藏在 SolarWinds 的内部网络中，提前在 Orion app 中增加虚假的缓冲区代码并后续伪装所增加的恶意代码，以及隐藏恶意代码并使其看似由 SolarWinds 运维人员自己写的代码。

所有这些都是最初的攻击者本不会犯的错误，因此微软认为 Supernova 和最初的 SolarWinds 供应链攻击之间并不相关。

推荐阅读

FireEye 红队失窃工具大揭秘之：分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)

FireEye事件新动态：APT 攻击 SolarWinds 全球供应链（详解）

原文链接

https://www.zdnet.com/article/a-second-hacking-group-has-targeted-solarwinds-systems/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~