Hacker nutzen VPN aus, um SUPERNOVA-Malware auf SolarWinds Orion einzuschleusen

Cyber Security News

Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat Details zu einer neuen Advanced Persistent Threat (APT) bekannt gegeben, die die Supernova-Backdoor ausnutzt, um SolarWinds Orion-Installationen zu kompromittieren, nachdem sie über eine Verbindung zu einem Pulse Secure VPN-Gerät Zugriff auf das Netzwerk erhalten hat.

“Der Bedrohungsakteur verband sich über eine Pulse Secure Virtual Private Network (VPN)-Appliance mit dem Netzwerk des Unternehmens, bewegte sich seitlich zu dessen SolarWinds Orion-Server, installierte eine Malware, die von Sicherheitsforschern als SUPERNOVA (eine .NET-Web-Shell) bezeichnet wird, und sammelte Anmeldeinformationen”, so die Agentur am Donnerstag.

[Blocked Image: https://thehackernews.com/images/-F6uIYIM1HU4/YHc_zlYQIjI/AAAAAAAA3ww/LiZQUqk8VF4NmFffFdQLXkunBuUDOa4FgCLcBGAsYHQ/s300-e100/thn-300-5.png]

CISA sagte, dass es den Bedrohungsakteur während eines Incident-Response-Einsatzes bei einer ungenannten Organisation identifizierte und feststellte, dass der Angreifer durch die Verwendung der VPN-Anmeldedaten zwischen März 2020 und Februar 2021 fast ein Jahr lang Zugang zum Netzwerk des Unternehmens hatte.

Interessanterweise soll der Angreifer gültige Konten verwendet haben, bei denen die Multi-Faktor-Authentifizierung (MFA) aktiviert war, anstatt eine Schwachstelle auszunutzen, um sich mit dem VPN zu verbinden, wodurch er sich als legitimer Telearbeitsmitarbeiter des betroffenen Unternehmens ausgeben konnte.

Im Dezember 2020 gab Microsoft bekannt, dass eine zweite Spionagegruppe die Orion-Software des IT-Infrastrukturanbieters missbraucht haben könnte, um eine persistente Backdoor namens Supernova auf Zielsystemen abzulegen. Die Eindringlinge wurden seitdem einem mit China verbundenen Bedrohungsakteur namens Spiral zugeschrieben.

[Blocked Image: https://thehackernews.com/images/-InfTQtUM5C4/YHc_0ZGpd6I/AAAAAAAA3w4/MWDrU14UJKQj4OKBMbp0NWLiHrGgZ1IwQCLcBGAsYHQ/s728-e100/thn-728-5.png]

Im Gegensatz zu Sunburst und anderer Malware, die mit der SolarWinds-Kompromittierung in Verbindung gebracht wurde, handelt es sich bei Supernova um eine .NET-Web-Shell, die durch Modifizierung eines Moduls “app_web_logoimagehandler.ashx.b6031896.dll” der SolarWinds Orion-Anwendung implementiert wurde. Die Modifikationen wurden durch die Ausnutzung einer Authentifizierungsumgehungsschwachstelle in der Orion-API ermöglicht, die als CVE-2020-10148 verfolgt wird und es einem entfernten Angreifer ermöglicht, nicht authentifizierte API-Befehle auszuführen.

Eine Untersuchung des Vorfalls ist im Gange. In der Zwischenzeit empfiehlt die CISA Unternehmen, MFA für privilegierte Konten zu implementieren, Firewalls zu aktivieren, um unaufgeforderte Verbindungsanfragen zu filtern, strenge Passwortrichtlinien durchzusetzen und das Remote Desktop Protocol (RDP) und andere Fernzugriffslösungen zu sichern.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com