針對SolarWinds Orion攻擊的駭客不只1組！多家資安廠商發現第2個後門程式

鎖定網管系統SolarWinds Orion的供應鏈攻擊事件，引起軒然大波，但在事發3天後（12月15日到18日），我們看到陸續有多家資安業者，包含GuidePoint、微軟、Palo Alto Networks，以及賽門鐵克，他們表示攻擊的來源可能不只一個，因為，他們發現了另一個名為Supernova的後門程式。由於Supernova的手法，與先前FireEye於13日揭露的SunBurst（或稱為Solarigate）後門程式行徑，可說是大不相同，因此他們研判，是另一個駭客組織發起的攻擊行動。

有多家資安業者指出本次供應鏈攻擊的事故，有第2組駭客出手的情況，我們看到新聞網站ZDNet與Bleeping Computer，在21日率先報導此事。其中，Palo Alto的研究人員，針對Supernova揭露較為詳細的分析結果，並指出另一家資安業者GuidePoint揭露的資訊，與他們的大致相同。

他們認為，該後門程式是針對SolarWinds Orion而來，這是偽冒成合法.NET程式庫（App_web_logoimagehandler.ashx.b6031896.dll）的木馬程式，而原本這隻程式庫的用途，是提供HTTP API，讓Orion主機收到指定的GIF圖片檔案時，回應其他的子系統。Palo Alto指出，駭客植入此DLL檔案的程式碼看似無直接危害，導致資安系統可能會輕易放行，甚至是用人工鑑識來調查，也可能會忽略。

為何會看起來沒有問題？Palo Alto表示，因為Supernova的網頁殼層是在記憶體內（In-Memory）運作，其酬載（Payload）則是動態產生及執行，駭客這麼做的結果，就是在受害電腦裡的磁碟完全沒有留下執行檔案的痕跡，使得數位鑑識與事件回應的分析變得更加困難。

而這個Supernova後門程式也不是直接執行。事實上，研究人員指出，駭客是藉由有效的.NET應用程式，以參數的方式來挾帶執行Supernova，利用這個後門程式在受害組織的SolarWinds Orion系統裡，來下載、編譯，以及執行惡意的PowerShell腳本。

Palo Alto指出，相較於SunBurst，利用Supernova發動攻擊行動的樣貌尚不甚明朗，但他們認為並非是製作SunBurst的駭客出手，主要原因是Supernova不像SunBurst冒用合法簽章，再加上這2個後門程式的攻擊手法差異極大。而微軟的資安研究員Nick Carr，17日於推特上首度提出這樣的看法，而微軟後來也在部落格上，提出類似的觀點。

This is excellent analysis of a webshell!
However, SUPERNOVA & COSMICGALE are unrelated to this intrusion campaign.
You should definitely investigate them separately bc they are interesting – but don’t let it distract from the SUNBURST intrusions.
Details: https://t.co/6FA6VlABV3

— Nick Carr (@ItsReallyNick) December 17, 2020