Các hacker khai thác VPN để triển khai SUPERNOVA malware trên SolarWinds Orion.



The U.S. Cybersecurity and Infrastructure Security Agency (CISA đã tiết lộ chi tiết về một advanced persistent threat (APT) mới đang tận dụng Supernova backdoor để xâm phạm vào các cài đặt SolarWinds Orion sau khi giành được quyền truy cập vào mạng thông qua kết nối với thiết bị Pulse Secure VPN.

“Hacker đã kết nối với mạng của thực thể thông qua thiết bị Pulse Secure  virtual private network (VPN), di chuyển sang SolarWinds Orion server, đã cài đặt malware được các nhà nghiên cứu bảo mật gọi là SUPERNOVA  (a .NET web shell)  và thu thập thông tin đăng nhập, “Cơ quan này cho biết hôm thứ Năm.

CISA cho biết họ đã xác định được các hacker trong một cuộc tham gia kế hoạch ứng phó với sự cố tại một tổ chức giấu tên và phát hiện ra rằng chúng đã truy cập vào mạng của doanh nghiệp trong gần một năm thông qua việc sử dụng thông tin đăng nhập VPN từ tháng 3 năm 2020 đến tháng 2 năm 2021.

SolarWinds releases updated advisory for new SUPERNOVA malware

Điều đáng chú ý là,chúng được cho là đã sử dụng các tài khoản hợp lệ đã được kích hoạt xác thực đa yếu tố (MFA), thay vì khai thác lỗ hổng bảo mật, để kết nối với VPN, do đó cho phép chúng giả dạng nhân viên thật làm việc tại nhà của doanh nghiệp bị ảnh hưởng.

Vào tháng 12 năm 2020, Microsoft tiết lộ rằng một nhóm gián điệp thứ hai có thể đã lạm dụng phần mềm Orion của nhà cung cấp cơ sở hạ tầng CNTT để thả một backdoor có tên là Supernova trên các hệ thống mục tiêu. Các cuộc xâm nhập kể từ đó, được cho là do một hacker có liên hệ với Trung Quốc có tên là Spiral.

Không giống như Sunburst và các malware khác đã được kết nối với SolarWinds bị xâm nhập, Supernova là một web shell .NET được triển khai bằng cách sửa đổi mô-đun “app_web_logoimagehandler.ashx.b6031896.dll” của ứng dụng SolarWinds Orion. Các sửa đổi được thực hiện bằng cách tận dụng lỗ hổng bỏ qua xác thực trong API Orion được theo dõi là CVE-2020-10148, từ đó cho hacker công từ xa thực hiện các lệnh API chưa được xác thực.

Một cuộc điều tra về vụ việc đang được tiến hành. Trong thời gian chờ đợi, CISA đang khuyến nghị các tổ chức triển khai MFA cho các tài khoản đặc quyền, kích hoạt tường lửa để lọc các yêu cầu kết nối không mong muốn, thực thi các chính sách mật khẩu mạnh và  Remote Desktop Protocol và các giải pháp truy cập từ xa khác.

nguồn: thehackernews



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật