Хакеры использовали Pulse Secure VPN и SolarWinds Orion для внедрения бэкдора Supernova

Хакеры использовали Pulse Secure VPN и SolarWinds Orion для внедрения бэкдора Supernova

По данным CISA, злоумышленники развертывали бэкдор после получения первоначального доступа к атакуемой сети через Pulse Secure VPN.

image

Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) рассказало об APT-группе, использовавшей бэкдор SUPERNOVA для компрометации платформы SolarWinds Orion. По данным CISA, злоумышленники развертывали бэкдор после получения первоначального доступа к атакуемой сети через Pulse Secure VPN.

«Злоумышленники подключались к сети организации через установки Pulse Secure VPN, с помощью горизонтальное перемещение получали доступ к серверу SolarWinds Orion, устанавливали вредоносное ПО, которое исследователи безопасности называют SUPERNOVA (web-оболочка на .NET), и собрали учетные данные», - говорится в отчете CISA.

Агентство идентифицировало киберпреступную группу в ходе реагирования на инцидент в неназванной организации и обнаружило, что у нее был доступ к сетям этой организации в течение года благодаря учетным данным для VPN.

Примечательно, что для подключения к VPN злоумышленники использовали действительные учетные записи с включенной многофакторной аутентификацией, а не эксплуатировали уязвимости. Это позволило им выдавать себя за легитимных сотрудников атакуемой организации, якобы работающих удаленно.

О том, что инфраструктуру SolarWinds использовала не одна, а две киберпреступные группировки, впервые сообщила компания Microsoft в декабре прошлого года. Злоумышленники (предположительно, китайская APT-группа Spiral) использовали ее для развертывания в сетях атакуемых организаций бэкдор SUPERNOVA.

В отличие от бэкдора Sunburst и других вредоносных программ, связанных со взломом SolarWinds, SUPERNOVA представляет собой web-оболочку на языке .NET, реализованную путем модифицирования модуля "app_web_logoimagehandler.ashx.b6031896.dll" приложения SolarWinds Orion. Модификация стала возможной благодаря уязвимости обхода аутентификации в Orion API ( CVE-2020-10148 ), позволяющей удаленному атакующему выполнять API-команды без авторизации.

В настоящее время расследование инцидента все еще продолжается. Тем временем CISA рекомендует организациям включить многофакторную аутентификацию для привилегированных учетных записей и межсетевые экраны для фильтрации неавторизованных запросов на подключение, обеспечить соблюдение политик надежности паролей и защитить протокол удаленного рабочего стола (RDP) и другие решения для удаленного доступа.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.