Microsoft SolarWinds sistemlerde Supernova ve CosmicGale kötü yazılımını tespit etti. Saldırganların SolarWinds ve Orion platformunu tehlikeye attığı tedarik zincirine yönelik büyük ölçekli bir saldırı devam ediyor. Görünüşe göre uzmanlar, şirket ve devlet ağlarında kötü amaçlı yazılım barındırmak için SolarWinds yazılımını kullanan başka bir hack grubu keşfettiler.
Orijinal saldırıda kullanılan kötü amaçlı yazılımı SUNBURST (diğer adıyla Solorigate) kod adıyla anılıyor. Bu tehditle ilgili ayrıntılı raporlar neredeyse anında Microsoft, FireEye, Siber Güvenlik ve Altyapı Koruma Ajansı (DHS CISA) tarafından yayınlandı. Hedef ağına sızdıktan sonra SUNBURST, yöneticilere bir istek gönderdi ve ardından saldırganların el klavyesi üzerinde, yani insan kontrollü saldırılar başlatmasına izin veren Teardrop adlı bir arka kapı Truva Atı indirdi.
Microsoft SolarWinds sistemlerde Supernova ve CosmicGale kötü yazılımını tespit etti
Ancak bilgi güvenliği uzmanlarının raporlarında hemen hemen iki tane daha yükten bahsedildi. Örneğin, Guidepoint, Symantec ve Palo Alto Networks’ten analistler, siber suçluların virüslü .NET ağlarına Supernova adlı bir web kabuğu enjekte ettiğini ayrıntılı olarak açıklıyor. Araştırmacılar, bilgisayar korsanlarının kötü niyetli bir Powershell betiğini (CosmicGale olarak adlandırılır) indirmek, derlemek ve yürütmek için Supernova’yı kullandığına inanıyordu.
Ancak Microsoft uzmanları artık Süpernova’nın başka bir saldırının parçası olduğunu ve tedarik zincirine yapılan sansasyonel saldırı ile hiçbir ilgisi olmadığını yazıyor. Bu nedenle, Microsoft analisti Nick Carr tarafından GitHub’da yayınlanan bir gönderiye göre, Supernova web kabuğu, CVE-2019-8917 sorununa karşı savunmasız olan, zayıf şekilde korunan SolarWinds Orion kurulumlarına gömülmüştü.
Bu karışıklık, Sunburst gibi Supernova’nın Orion uygulaması için bir DLL olarak gizlenmiş olmasından kaynaklanıyordu: Sunburst SolarWinds.Orion.Core.BusinessLayer.dll dosyasında ve Supernova App_Web_logoimagehandler.ashx.b6031896.dll’de gizlenmişti.
Ancak geçen hafta yayınlanan bir Microsoft raporu, Sunburst DLL’den farklı olarak Supernova DLL dosyasının yasal bir SolarWinds sertifikasıyla imzalanmadığını gösterdi. Bu, şimdiye kadar oldukça fazla karmaşıklık ve detaylara özen göstermiş olan saldırganların suçu değil. Sonuç olarak, Microsoft uzmanları, bu kötü amaçlı yazılımın tedarik zincirindeki orijinal saldırı ile hiçbir ilgisi olmadığına ve genellikle başka bir saldırı grubuna ait olduğuna ikna oldu.
