黑客利用VPN在太阳风猎户座上部署超新星恶意软件

美国网络安全和基础设施安全局（CISA）披露了一种新的高级持久性威胁（APT）的详细信息，该威胁在通过连接到脉冲安全VPN设备访问网络后，利用超新星后门破坏SolarWinds Orion的安装。

该机构周四表示：“威胁行为人通过Pulse-Secure虚拟专用网络（VPN）设备连接到该实体的网络，横向移动到其SolarWinds Orion服务器，安装了被安全研究人员称为SUPERNOVA（一个.NET网络外壳）的恶意软件，并收集了凭据。”。

CISA表示，它在一个未命名组织的事件响应中确认了威胁演员，并发现攻击者通过使用VPN证书在2020年3月至2021年2月之间访问了近一年的企业网络。

有趣的是，据说对手使用了启用了多因素身份验证（MFA）的有效帐户，而不是利用漏洞来连接VPN，从而允许他们伪装成受影响实体的合法远程工作雇员。

2020年12月，微软披露，第二个间谍组织可能正在滥用IT基础设施提供商的猎户座软件，在目标系统上投放一个名为Supernova的持久后门。自那以后，这些入侵被认为是与中国有关的威胁行为体“螺旋”。

与Sunburst和其他与太阳风危害有关的恶意软件不同，Supernova是一个。NET web shell通过修改SolarWinds Orion应用程序的“app_web_logoimagehandler.ashx.b6031896.dll”模块实现。这些修改是通过利用Orion API中的身份验证绕过漏洞实现的，该漏洞被追踪为CVE-2020-10148，从而允许远程攻击者执行未经身份验证的API命令。

对这起事件的调查正在进行中。与此同时，CISA建议各组织为特权帐户实施MFA，使防火墙能够过滤未经请求的连接请求，实施强大的密码策略，以及安全的远程桌面协议（RDP）和其他远程访问解决方案。