Alguns sistemas SolarWinds foram encontrados comprometidos com malware denominado Supernova e CosmicGale, não relacionado ao recente ataque à cadeia de suprimentos.

Como as evidências forenses estão sendo lentamente descobertas após o ataque à cadeia de suprimentos da SolarWinds, os pesquisadores de segurança descobriram um segundo ator de ameaça que explorou o software SolarWinds para plantar malware em redes corporativas e governamentais.

Os detalhes sobre esse segundo ator de ameaça ainda são escassos, mas os pesquisadores de segurança não acreditam que essa segunda entidade esteja relacionada aos suspeitos hackers apoiados pelo governo russo que violaram o SolarWinds para inserir malware em seu aplicativo oficial Orion.

O malware usado no ataque original, codinome Sunburst (ou Solorigate), foi entregue aos clientes da SolarWinds como uma atualização bloqueada para o aplicativo Orion.

Em redes infectadas, o malware faria um ping em seus criadores e, em seguida, baixaria um trojan de backdoor de segunda fase chamado Teardrop, que permitia que os invasores iniciassem uma sessão de teclado prática, também conhecida como ataque operado por humanos.

Mas nos primeiros dias após a divulgação pública do hack da SolarWinds , os relatórios iniciais mencionaram duas cargas úteis de segundo estágio.

Relatórios da Guidepoint , Symantec e Palo Alto Networks detalham como os invasores também estão plantando um shell da web .NET denominado Supernova .

Os pesquisadores de segurança acreditavam que os invasores estavam usando o shell da web Supernova para baixar, compilar e executar um script Powershell malicioso (que alguns chamaram de CosmicGale ).

No entanto, na análise de acompanhamento das equipes de segurança da Microsoft, agora foi esclarecido que o shell da web do Supernova não fazia parte da cadeia de ataque original.

As empresas que encontram o Supernova em suas instalações do SolarWinds precisam tratar esse incidente como um ataque separado.

De acordo com uma postagem no GitHub do analista de segurança da Microsoft Nick Carr, o shell da web Supernova parece ter sido plantado nas instalações do SolarWinds Orion que foram deixadas expostas online e não foram corrigidas e vulneráveis ​​a uma vulnerabilidade rastreada como CVE-2019-8917.

A confusão de que o Supernova estava relacionado à cadeia de ataque Sunburst + Teardrop veio do fato de que, assim como o Sunburst, o Supernova estava disfarçado como uma DLL para o aplicativo Orion - com o Sunburst escondido dentro do arquivo SolarWinds.Orion.Core.BusinessLayer.dll e Supernova dentro de App_Web_logoimagehandler.ashx.b6031896.dll .

Mas, em uma análise publicada na sexta-feira , 18 de dezembro, a Microsoft disse que, ao contrário do Sunburst DLL, o Supernova DLL não foi assinado com um certificado digital SolarWinds legítimo.

O fato de o Supernova não ter sido assinado foi considerado extremamente atípico para os atacantes, que até então mostravam um alto grau de sofisticação e atenção aos detalhes em sua operação.

Isso incluiu passar meses sem ser detectado na rede interna da SolarWinds, adicionar código de buffer fictício ao aplicativo Orion com antecedência para disfarçar a adição de código malicioso posteriormente e disfarçar seu código malicioso para fazer com que pareça que os próprios desenvolvedores da SolarWinds o escreveram .

Tudo isso parecia um erro gritante que os invasores iniciais não teriam cometido e, como resultado, a Microsoft acredita que esse malware não está relacionado ao ataque original à cadeia de suprimentos da SolarWinds.

Fonte: ZDNet