В SolarWinds Orion обнаружен еще один бэкдор

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

22 декабря 2020 года

Анализируя артефакты, полученные в ходе расследования начавшейся с SolarWinds атаки на цепочку поставок, специалисты выявили еще один бэкдор, судя по всему, использующийся другой киберпреступной группировкой.

Получивший название SUPERNOVA вредонос представляет собой web-оболочку, внедренную в платформу для мониторинга и управления IT-ресурсами SolarWinds Orion и ее сеть. С его помощью злоумышленники могут запускать произвольный код на системах с вредоносными версиями Orion.

Web-оболочка является троянизированной версией легитимной библиотеки.NET (app_web_logoimagehandler.ashx.b6031896.dll), присутствующей в платформе Orion. Злоумышленники модифицировали ее таким образом, чтобы она могла обходить автоматизированные механизмы защиты.

Orion использует DLL для открытия HTTP API, позволяя хосту отвечать другим подсистемам при запросе определенного GIF-изображения. Как пояснил в своем отчете старший исследователь Palo Alto Networks Мэт Теннис (Palo Alto Networks), вредоносное ПО потенциально может ускользать даже от ручного анализа, поскольку встроенный в DLL код сам по себе безобиден и «сравнительно высокого качества».

Как показал анализ, злоумышленники добавили в легитимный файл SolarWinds четыре новых параметра для получения сигналов от C&C-инфраструктуры. Вредоносный код содержит только один метод – DynamicRun, на лету компилирующий параметры в ассемблированную программу на.NET в памяти, благодаря чему на жестком диске скомпрометированного устройства не остается никаких артефактов. Таким образом, злоумышленник может отправлять на скомпрометированное устройство произвольный код и запускать его в контексте пользователя, у которого почти всегда есть высокие привилегии и хорошая видимость сети.

Как долго бэкдор SUPERNOVA присутствовал в Orion, неизвестно, но по данным системы для анализа вредоносного ПО Intezer, временные метки указывают на дату компиляции 24 марта 2020 года. Напомним, ранее также сообщалось, что злоумышленники получили доступ к сетям компании SolarWinds намного раньше, чем предполагалось, и еще в октябре 2019 года делали пробную рассылку файлов из ее взломанной сети. Однако, по мнению специалистов Microsoft, SUPERNOVA – дело рук другой киберпреступной группировки. На это указывает тот факт, что в отличие от бэкдора SunBurst/Solarigate, внедренного в SolarWinds.Orion.Core.BusinessLayer.Dll, у SUPERNOVA нет цифровой подписи.

В настоящее время образец SUPERNOVA доступен на VirusTotal и детектируется 55 из 69 антивирусных движков. ИБ-эксперты пока не могут определить, кто стоит за SunBurst/Solarigate и SUPERNOVA, но сходятся в одном – атаки являются делом рук APT-групп.

Источники[править]

Эта статья содержит материалы из статьи «В SolarWinds Orion обнаружен еще один бэкдор», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported).
Creative Commons
Creative Commons
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=В_SolarWinds_Orion_обнаружен_еще_один_бэкдор&oldid=9559726