Des chercheurs de la Counter Threat Unit (CTU) de Secureworks ont découvert un lien possible avec la Chine tout en examinant comment les serveurs SolarWinds étaient utilisés pour déployer des logiciels malveillants.
À la fin de l’année dernière, un serveur SolarWinds Internet compromis a été utilisé comme tremplin par des pirates pour déployer le shell Web .NET Supernova. Sur la base d’intrusions similaires survenues sur le même réseau, il semble que le groupe de menaces Spiral basé en Chine soit responsable des deux cas.
Selon le nouveau rapport de Secureworks, la vulnérabilité de contournement d’authentification dans l’API SolarWinds Orion, suivie comme CVE-2020-10148, qui peut conduire à l’exécution à distance de commandes API, a été activement exploitée par Spiral. Lorsque des serveurs vulnérables sont détectés et exploités, un script capable d’écrire le shell Web Supernova sur le disque est déployé à l’aide d’une commande PowerShell.
Supernova, qui est écrit en .NET, est un shell Web avancé qui peut maintenir la persistance sur une machine compromise ainsi que compiler «des données de méthode, d’arguments et de code» en mémoire, selon un article de l’Unité 42 de Palo Alto Network.
Sommaire
Supernova
Lors d’un incident observé par Secureworks qui s’est produit en août dernier, Supernova a été utilisé par Spiral pour effectuer une reconnaissance, un mappage de domaine et pour voler à la fois les informations d’identification et les informations d’un serveur ManageEngine ServiceDesk. Cet incident partage des similitudes avec celui qui s’est produit en novembre et qui a été analysé par la Counter Threat Unit de l’entreprise.
Bien que l’on pense que ces deux cas sont l’œuvre du groupe de menaces Spiral, il n’y a aucun lien avec le piratage de SolarWinds qui s’est produit en décembre de l’année dernière.
Pour éviter d’être victime d’attaques futures de Spiral, Secureworks recommande aux entreprises d’utiliser les contrôles disponibles pour restreindre l’accès à plusieurs adresses IP (qui peuvent être trouvées ici) qui pointent vers les serveurs C&C du groupe de menaces.
Via ZDNet
