在SecureWorks的計數器威脅單元或CTU工作的研究人員最近發現了與中國的新鏈接,同時仍研究SolarWinds服務器如何顯然被用來部署關鍵惡意軟件。
.NET超新星惡意軟件
根據Techradar的文章,在去年年底,據報導,黑客將一檯面向Internet的SolarWinds服務器用作跳板,以部署狡猾的.NET Web Shell Supl Supernova惡意軟件。基於報告的同一網絡上發生的其他類似的侵犯,實際上看來,基於中國的螺旋威脅群體現在被認為是兩種情況的原因。
根據CVE-2020-10148,對給定的Solarwinds Orion API中的身份驗證旁路脆弱性跟踪,也可能導致其他遠程執行該API命令已被Spiral主動利用。SecureWorks的報告。當首次檢測到脆弱的服務器然後被利用時,將使用新的PowerShell命令部署一個能夠將整個Supernova Web Shell編寫為磁盤的新腳本。
先進的網絡殼使用
據報導,Supernova是用.NET編寫的,是一個高級的Web殼,即使在受損的機器上也能保持持久性,並且能夠仍然可以編譯某些方法,參數以及內存中代碼數據。這是根據來自帕洛阿爾托網絡自己的單元42。
在去年八月最近發生的SecureWorks觀察到的一項特定事件中,據報導,Supernova被Supernova用於執行某種偵察,域映射,以便能夠竊取來自ManageEngine ServiceCeedEcceSk Server的憑據和信息。這一特殊事件實際上與最近發生的一段時間發生的事件具有一些相似之處,並且還被公司自己的反威脅單位分析。
中國螺旋威脅群
儘管實際上這兩個案件被認為是中國螺旋威脅集團的工作,但仍然沒有直接的鏈接將其與去年12月發生的某個時候發生的一段時間。為了防止螺旋威脅小組對未來攻擊的受害者,SecureWorks建議備受矚目的組織使用可用的控件,以限制對威脅集團報告的C&C服務器直接指向的許多IP地址的訪問。
另請閱讀:Solarwinds最大的投資者在大規模黑客之前出售了3.15億美元,SEC開始調查
Solarwinds Hack
根據一篇文章克雷布森安全早在12月13日,Solarwinds實際上已經承認,黑客已經能夠將惡意軟件直接插入為其所假定的Orion平台提供軟件更新的服務。據報導,該平台是一套產品套件,在美國政府以及其他財富500家公司中都可以很好地使用,以監視其自己的IT網絡的健康。
在12月14日,人們注意到,實際上有300,000多個客戶中,大約有33,000名客戶是Orion客戶。還指出,少於18,000名客戶可能已經安裝了包含證書惡意代碼的Orion產品。
相關文章:[更新] Solarwinds行政人員責怪實習生洩露公司密碼的SolarWinds123:'自2017年以來使用的密碼
本文由技術時報擁有
由Urian Buenconsejo撰寫
