Secureworksのカウンタースレットユニット(CTU)は米国時間3月8日、.NETで記述したウェブシェル「SUPERNOVA」を展開するために、インターネットに接続したSolarWindsのサーバーが2020年後半に使用されていた可能性があることを明らかにした。
同じネットワークが似たような方法で侵入されていることから、中国を拠点とすると疑われる脅威グループ「Spiral」が、いずれの事例にも関係しているようだ。
研究者らによると、Spiralは脆弱性「CVE-2020-10148」を積極的に悪用している。SolarWindsの「Orion API」 にあるこの脆弱性は、認証バイパスのバグと説明されており、APIコマンドをリモートで実行できるようになる。
脆弱性のあるサーバーが検出・悪用されると、PowerShellコマンドを使ってディスクにSUPERNOVAウェブシェルが展開される。
Palo Alto Networksによると、SUPERNOVAは.NETで記述された高度なウェブシェルだ。侵害したマシンで永続性を維持するだけでなく、メモリー内に「メソッド、引数、コードデータ」をコンパイルし、痕跡をほぼ残さないように設計されているという。
「攻撃者は、Orionバイナリーに埋め込むステルス性の高い本格的な.NET APIを構築しており、その標的となるユーザーは通常、高度な特権を持ち、組織のネットワーク内で高度な可視性を持つ立場にある」と、Palo Alto Networksは述べている。「それにより、攻撃者は悪意のあるC#コードを使い、SolarWinds(そして.NET SDKにで公開されているWindows上のローカルオペレーティングシステム機能)を勝手に設定できるようになる。そのコードは無害のSolarWindsを操作中にオンザフライでコンンパイルされ、動的に実行される」(同社)
Secureworksが指摘したケースでは、SUPERNOVAは偵察、ドメインマッピング、証明書と情報の窃盗に使用されていた。
これまでに「ManageEngine ServiceDesk」が侵入されており、早いものでは2018年まで遡る。これらの例では同じコマンドが使用され、同じサーバーが不正にアクセスされた。ドメインコントローラーと機密データを含むシステムで、両方の攻撃で合計3つの管理者アカウントが侵害されて乗っ取られた。
Secureworksのチームは「定期的に証明書やデータを盗むための長期的アクセスの維持、スパイ活動や知的財産権の窃盗など、ManageEngineサーバーを狙ったネットワーク侵入には、中国の脅威グループが関与しているようだ」と指摘している。
しかしこれらのケースは、SolarWindsのソフトウェアを悪用した2020年12月のサプライチェーン攻撃とは無関係だと考えられている。そのサイバー攻撃では、悪意のあるOrionアップデートにより1万8000社以上が被害に遭った。
SolarWindsの広報担当者は米ZDNetに次のように述べている。
この記事は、最初にSolarWindsとは関係のない方法でネットワークが侵害された事例について触れている。攻撃者はその侵害によって、顧客のネットワークのOrionソフトウェアに悪意のあるSUPERNOVAコードを埋め込むことに成功した。
SUPERNOVAは幾つものソフトウェア会社を攻撃ベクトルとして標的にした、広範かつ高度なサプライチェーン攻撃と無関係なことに留意してほしい。SUPERNOVAは、SolarWindsによって署名されたものでも配信されたものでもなく、この問題は12月にリリースしたOrionのアップデートで既に対処している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
