Nel corso delle indagini sull'attacco alla supply-chain di SolarWinds Orion , i ricercatori di sicurezza hanno scoperto, incredibilmente, una seconda backdoor che, quasi sicuramente, appartiene ad un secondo attore, diverso dal primo gruppo di attaccanti.
Per approfondire >> Cyber Warefare: governo USA e aziende sotto attacco dopo il breach di SolarWinds. Ed è di nuovo allarme sulle supply chain.
Ribattezzato Supernova, il malware altro non è che una webshell inserita nel codice della piattaforma di monitoraggio delle reti e delle applicazioni Orion e consente ad una terza parte non autorizzata la possibilità di eseguire code arbitrario sulle macchine, avviando la versione trojanizzata del software.
La webshell è una variante trojanizzata della libreria legittima .NET (app_web_logoimagehandler.ashx.b6031896.dll) presente nel software Orion, che è stata modificata in maniera tale da riuscire ad evadere i meccanismi automatici di difesa delle reti attaccate. Non solo, stando al report tecnico pubblicato da Palo Alto Network la scorsa settimana, il malware potrebbe sfuggire anche a tentativi di analisi manuale, poiché il codice implementato nella DLL legittimo è innocuo e "relativamente di alta qualità".
"La peculiarità di Supernova è, drammaticamente, quella di prendere un valido programma .NET come parametro. Classe, metodo, argomenti e dati nel .NET sono compilati ed eseguiti in memoria. Non vengono scritti sul disco ulteriori artefatti forensi, a parte stage webshell low-level e non c'è neppure bisogno di ilteriori richieste alla rete a parte la richiesta C2 iniziale. In parole semplici, gli attaccanti hanno costruito una API .NET praticamente invisibile, integrata direttamente in un binario Orion il cui utente è, in genere, altamente privilegiato e posizionato con un altro grado di visibilità entro la rete aziendale" si legge nel report di Palo Alto Network. In questa maniera gli attaccanti possono inviare codice arbitrario ai dispositivi infatti ed eseguirli nel contesto dell'utente.
 |
| Fonte: Palo Alto Network |
 |
| Fonte: https://securityaffairs.co/ |
Ad ora un campione del malware è disponibile su VirusTotal, individuato dalla maggior parte dei motori antivirus, ma non è chiaro da quanto fosse nel software Orion dato che alcuni ricercatori hanno rintracciato timestamp risalenti al 24 Marzo 2020.
Attacchi via webshell: next level
I risultati delle indagini hanno aperto le porte ad uno scenario nel quale gli attaccanti dietro a Supernova sono diversi rispetto a quelli che hanno diffuso Sunburst nella supply-chain di Orion. Quel che è certo è che chiunque abbia portato l'attacco ha un alto livello di know how, tale da aver portato gli attacchi via webshell ad un nuovo livello. Gli attacchi via webshell .NET sono piuttosto comuni e solitamente riescono ad eseguire uno sfruttamento delle vulnerabilità di livello superficiale. L'aver preso un programma .NET valido come parametro e aver optato per l'esecuzione in memoria ha portato Supernova ad un livello al quale non si è abituati, avendo eliminato la necessità di callback di rete aggiuntivi oltre alla richiesta iniziale inviata al C2.
Un secondo gruppo hacker state-sponsored?
Microsoft, che conferma il ritrovamento della seconda backdoor oltre a Sunburn, ritiene che SUPERNOVA sia figlia di un gruppo diverso da quello che ha violato la società di cybersecurity FireEye e alcuni enti del Governo USA. La teoria è supportata dal fatto che la backdoor Supernova non ha una firma digitale, al contrario della backdoor SunBurst con la quale è stata trojanizzata la libreria SolarWinds.Orion.Core.BusinessLayer.Dll.
Nessun commento:
Posta un commento