Los investigadores de Secureworks han encontrado vínculos entre el malware Supernova plantado en instalaciones de SolarWinds Orion comprometidas con conexión a Internet y las intrusiones llevadas a cabo en agosto de 2020 contra los servidores Zoho ManageEngine, que la firma de ciberseguridad atribuyó a un actor de amenazas con sede en China.
En noviembre de 2020, se observó que el grupo de ciberespionaje, al que Secureworks denominó Spiral, explotaba una vulnerabilidad de omisión de autenticación ( CVE-2020-10148 ) en la plataforma SolarWinds Orion para instalar el shell web Supernova. Sin embargo, los investigadores señalaron que esta actividad no está relacionada con el ataque a la cadena de suministro Sunburst que troyanó la actualización del software empresarial SolarWinds Orion.
Escrito en .NET C #, el shell web de Supernova es una versión troyana de la DLL legítima utilizada por SolarWinds Orion Platform. En los ataques observados, los piratas informáticos utilizaban Supernova para realizar actividades de reconocimiento adicionales y obtener credenciales.
Secureworks dijo que identificaron actividad de intrusión en la misma red en 2020. La investigación reveló que los intrusos obtuvieron acceso a la red ya en 2018 utilizando una vulnerabilidad en un servidor ManageEngine ServiceDesk y usaron este acceso para recolectar y extraer periódicamente credenciales de dominio.
En agosto de 2020, los atacantes robaron credenciales de dos servidores y las utilizaron para acceder a archivos de los servicios de OneDrive y SharePoint alojados en Microsoft Office 365.
“Los investigadores de la CTU inicialmente no pudieron atribuir la actividad de agosto a ningún grupo de amenaza conocido. Sin embargo, las siguientes similitudes con la intrusión SPIRAL a finales de 2020 sugieren que el grupo de amenaza SPIRAL fue responsable de ambas intrusiones ”, escribieron los investigadores.
“Los investigadores de CTU han asociado grupos de amenazas chinos con intrusiones en la red que involucran la selección de servidores ManageEngine, el mantenimiento del acceso a largo plazo para recolectar periódicamente credenciales y exfiltrar datos, y espionaje o robo de propiedad intelectual. Aunque la actividad de SPIRAL comparte estas características, las características son insuficientes para atribuir el país de origen de SPIRAL. Sin embargo, una característica adicional de la intrusión de agosto de 2020 fortalece la conexión china ".
En un comunicado, SolarWinds aclaró que el malware Supernova instalado en el software Orion presente en la red del cliente no era parte del ataque generalizado a la cadena de suministro atribuido a un actor de amenazas rastreado por investigadores de seguridad como Nobelium (Microsoft), UNC2452 (FireEye), StellarParticle. (CrowdStrike), SolarStorm (Palo Alto Networks), Dark Halo (Volexity).
“Este informe hace referencia a un incidente en el que una red se vio comprometida por primera vez de una manera que no estaba relacionada con SolarWinds. Esa infracción permitió a los atacantes agregar el código malicioso de Supernova al software Orion en la red del cliente. Es importante señalar que Supernova no está asociado con el amplio y sofisticado ataque a la cadena de suministro que apuntaba a múltiples empresas de software como vectores. Supernova no fue firmado ni entregado por SolarWinds y el problema se abordó en las actualizaciones de la plataforma Orion que se lanzaron en diciembre ”, dijo SolarWinds.
https://www.secureworks.com/blog/supernova-web-shell-deployment-linked-to-spiral-threat-group
