美国网络安全和基础设施安全局(CISA)披露了一种新的高级持久性威胁(APT)的详细信息,该威胁在通过连接到脉冲安全VPN设备访问网络后,利用超新星后门破坏SolarWinds Orion的安装。
该机构周四表示:“威胁行为人通过Pulse-Secure虚拟专用网络(VPN)设备连接到该实体的网络,横向移动到其SolarWinds Orion服务器,安装了被安全研究人员称为SUPERNOVA(一个.NET网络外壳)的恶意软件,并收集了凭据。”。
CISA表示,它在一个未命名组织的事件响应中确认了威胁演员,并发现攻击者通过使用VPN证书在2020年3月至2021年2月之间访问了近一年的企业网络。
有趣的是,据说对手使用了启用了多因素身份验证(MFA)的有效帐户,而不是利用漏洞来连接VPN,从而允许他们伪装成受影响实体的合法远程工作雇员。
2020年12月,微软披露,第二个间谍组织可能正在滥用IT基础设施提供商的猎户座软件,在目标系统上投放一个名为Supernova的持久后门。自那以后,这些入侵被认为是与中国有关的威胁行为体“螺旋”。
与Sunburst和其他与太阳风危害有关的恶意软件不同,Supernova是一个。NET web shell通过修改SolarWinds Orion应用程序的“app_web_logoimagehandler.ashx.b6031896.dll”模块实现。这些修改是通过利用Orion API中的身份验证绕过漏洞实现的,该漏洞被追踪为CVE-2020-10148,从而允许远程攻击者执行未经身份验证的API命令。
对这起事件的调查正在进行中。与此同时,CISA建议各组织为特权帐户实施MFA,使防火墙能够过滤未经请求的连接请求,实施强大的密码策略,以及安全的远程桌面协议(RDP)和其他远程访问解决方案。