SuperNova؛ دیگر بدافزار توزیع شده توسط سولارویندز

سولارویندز (SolarWinds Inc) با به‌روزرسانی توصیه‌نامه قبلی خود به معرفی بدافزار دیگری با نام SuperNova پرداخته که از طریق یکی از محصولات این شرکت در سطح جهان توزیع شده است.

به گزارش شرکت مهندسی شبکه گستر، در اواسط آذر ماه مشخص شد که در نتیجه اجرای حمله سایبری موفق بر ضد سولارویندز، مهاجمان قادر به تزریق کد آلوده به یکی از فایل‌های نرم‌افزار SolarWinds Orion – با نام SolarWinds.Orion.Core.BusinessLayer.dll – و تبدیل آن به یک درب‌پشتی (Backdoor) که به SUNBURST معروف گردیده شده بودند. فایل مذکور نیز از طریق قابلیت به‌روزرسانی خودکار Orion به شبکه مشتریان سولارویندز راه یافته بود.

بررسی بعدی دو شرکت مایکروسافت (Microsoft Corp) و پالوآلتو نت‌ورکز (Palo Alto Networks Inc) نشان داد که بدافزار دیگری با نام SuperNova نیز با همین تکنیک در کشورهای مختلف منتشر شده است. با این تفاوت که فایل دست‌درازی شده توسط این بدافزار، app_Web_logoimagehandler.ashx.b6031896.dll نام دارد.

SuperNova مهاجمان را قادر می‌کند تا به‌صورت از راه دور کد #C را به دستگاه آلوده ارسال کرده و در ادامه آن را کامپایل و اجرا کنند.

هر دو شرکت مایکروسافت و پالوآلتو نت‌ورکز احتمال می‌دهند که گروه پشت‌پرده SuperNova متفاوت از مهاجمان گرداننده SUNBURST باشند.

اکنون سولارویندز با به‌روزرسانی توصیه‌نامه قبلی خود به تهدید SuperNova نیز پرداخته است.

در بخشی از این توصیه‌نامه آمده:

بدافزار SuperNova از دو جزء تشکیل شده است. جزء اول، یک شل وب آلوده و امضا نشده (Unsigned) با نام app_web_logoimagehandler.ashx.b6031896.dll است که به‌طور خاص برای استفاده توسط SolarWinds Orion Platform نوشته شده است. جزء دوم نیز بهره‌جوی یک آسیب‌پذیری امنیتی در SolarWinds Orion Platform است که توزیع کد مخرب را ممکن ساخته است.

به تمامی راهبران SolarWinds Orion Platform توصیه شده که در اسرع‌وقت نسبت به ارتقای این محصول به یکی از نسخ زیر اقدام کنند:

  • 2019.4 HF 6 (December 14, 2020)
  • 2020.2.1 HF 2 (December 15, 2020)
  • 2019.2 SUPERNOVA Patch (December 23, 2020)
  • 2018.4 SUPERNOVA Patch (December 23, 2020)
  • 2018.2 SUPERNOVA Patch (December 23, 2020)

توصیه‌نامه سولارویندز در لینک زیر قابل مطالعه است:

توضیح این‌که فایل آلوده app_web_logoimagehandler.ashx.b6031896.dll با نام‌های زیر قابل شناسایی است:

  • Bitdefender: Trojan.Supernova.A
  • McAfee: Trojan-sunburst
  • Sophos: Mal/Generic-S + Mal/Sunburst-B

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *