“太阳爆发运动”新的证据表明与中国黑客有潜在联系

利用SolarWinds猎户座网络监控软件中一个未公开的零日，在Windows系统上部署一个恶意网络外壳，可能是一个可能的中国威胁组织的工作。

在Secureworks周一发布的一份报告中，这家网络安全公司将入侵归咎于一个被称为“螺旋”的威胁因素。

早在2020年12月22日，微软披露，第二个间谍组织可能滥用IT基础设施提供商的猎户座软件，在目标系统上投放了一个名为Supernova的持久后门。

网络安全公司Palo Alto Networks的42单元威胁情报团队和GuidePoint Security也证实了这一发现，他们都将超新星描述为。NET web shell通过修改SolarWinds Orion应用程序的“app_web_logoimagehandler.ashx.b6031896.dll”模块实现。

这些改动不是通过破坏SolarWinds应用程序更新基础设施实现的，而是通过利用Orion API中的身份验证绕过漏洞（追踪为CVE-2020-10148），从而允许远程攻击者执行未经验证的API命令。

“与Solorigate[aka Sunburst]不同，这个恶意DLL没有数字签名，这表明这可能与供应链妥协无关，”微软曾指出。

尽管自那以后，太阳爆发运动正式与俄罗斯有关，但超新星的起源至今仍是一个谜。

据Secureworks反恐组（CTU）研究人员称—；他在2020年11月对其一个客户网络的黑客攻击做出回应时发现了该恶意软件—；“横向运动的直接和有针对性的性质表明，Spiral事先知道该网络。”

在进一步调查过程中，该公司表示，发现该事件与2020年8月在同一网络上发现的先前入侵活动有相似之处，这是通过早在2018年就利用名为ManageEngine ServiceDesk的产品中的漏洞实现的。

“CTU的研究人员最初无法将8月份的活动归因于任何已知的威胁团体，”研究人员说。“然而，以下与2020年末螺旋式入侵的相似之处表明，螺旋式威胁集团应对这两次入侵负责。”

与中国的联系源于这样一个事实，即针对ManageEngine服务器的攻击长期以来都与位于中国的威胁组织有关，更不用说利用长期持久性收集凭据、过滤敏感数据和掠夺知识产权的做法了。

但更多确凿的证据以地理定位到中国的IP地址的形式出现，研究人员称，该IP地址来自一个主机，攻击者使用该主机运行Secureworks的端点检测和响应（EDR）软件，原因最为威胁参与者所知，这表明该软件可能是从受到威胁的客户那里被盗的。

“威胁组织可能从网络下载了endpoint agent安装程序，并在攻击者管理的基础设施上执行，”研究人员详细介绍。“IP地址的泄露很可能是无意的，所以它的地理位置支持螺旋威胁组织在中国境外活动的假设。”

It's worth pointing out that SolarWinds addressed Supernova in an update to Orion Platform released on December 23, 2020.