Хакеры использовали Pulse Secure VPN и SolarWinds Orion для внедрения бэкдора Supernova

Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) рассказало об APT-группе, использовавшей бэкдор SUPERNOVA для компрометации платформы SolarWinds Orion. По данным CISA, злоумышленники развертывали бэкдор после получения первоначального доступа к атакуемой сети через Pulse Secure VPN.

«Злоумышленники подключались к сети организации через установки Pulse Secure VPN, с помощью горизонтальное перемещение получали доступ к серверу SolarWinds Orion, устанавливали вредоносное ПО, которое исследователи безопасности называют SUPERNOVA (web-оболочка на .NET), и собрали учетные данные», - говорится в отчете CISA.

Агентство идентифицировало киберпреступную группу в ходе реагирования на инцидент в неназванной организации и обнаружило, что у нее был доступ к сетям этой организации в течение года благодаря учетным данным для VPN.

Примечательно, что для подключения к VPN злоумышленники использовали действительные учетные записи с включенной многофакторной аутентификацией, а не эксплуатировали уязвимости. Это позволило им выдавать себя за легитимных сотрудников атакуемой организации, якобы работающих удаленно.

О том, что инфраструктуру SolarWinds использовала не одна, а две киберпреступные группировки, впервые сообщила компания Microsoft в декабре прошлого года. Злоумышленники (предположительно, китайская APT-группа Spiral) использовали ее для развертывания в сетях атакуемых организаций бэкдор SUPERNOVA.

В отличие от бэкдора Sunburst и других вредоносных программ, связанных со взломом SolarWinds, SUPERNOVA представляет собой web-оболочку на языке .NET, реализованную путем модифицирования модуля "app_web_logoimagehandler.ashx.b6031896.dll" приложения SolarWinds Orion. Модификация стала возможной благодаря уязвимости обхода аутентификации в Orion API ( CVE-2020-10148 ), позволяющей удаленному атакующему выполнять API-команды без авторизации.

В настоящее время расследование инцидента все еще продолжается. Тем временем CISA рекомендует организациям включить многофакторную аутентификацию для привилегированных учетных записей и межсетевые экраны для фильтрации неавторизованных запросов на подключение, обеспечить соблюдение политик надежности паролей и защитить протокол удаленного рабочего стола (RDP) и другие решения для удаленного доступа.