Nyheter

SolarWinds sårbarhet SUNBURST – ny informasjon 21.12.20

Ny skadevare oppdaget

Under etterforskningen av SUNBURST ble det avdekket nytt malware som påvirker SolarWinds Orion-produkter, dette har fått kallenavnet SUPERNOVA.
Denne ondsinnede komponenten er mest sansynlig ikke relatert til SUNBURST, men er brukt av en annen trusselaktør. Det er viktig å påpeke at for å fjernkjøre kode må trusselaktør kunne nå SolarWinds-installasjonen over HTTP – enten ved at installasjon er eksponert ut på nett eller at trusselaktør allerede er på innsiden av nettverket.

Indikator for den ondsinnede DLL-filen har vært inkludert i våre veiledningsdokumenter siden revisjon 1 som ble publisert den 14.12.20, slik at om man allerede har søkt etter disse, uten funn, foreslås ingen nye tiltak.

Windows Defender oppdager den ondsinnede DLL-filen som Trojan:MSIL/Solorigate.G!dha.

Vi har oppdatert vår veileder med nye indikatorer. Dersom du ønsker å få denne tilsendt, kontakt oss på drift@nc-spectrum.no

Oppsummering

Situasjon pr. 21.12.2020:

  • Rundt 18000 kunder av SolarWinds er direkte eller indirekte påvirket av hendelsen.
  • Microsoft tar den 15. desember 2020 kontroll over et nøkkeldomene brukt av trusselaktøren som igjen fører til at en «kill switch» blir indirekte aktivert.
  • Oppdatering 2020.2.1 HF2 ble publisert av SolarWinds den 16. desember 2020.
  • Den 16. desember 2020 ble det sluppet Windows Defender-signaturer som setter de ondsinnede filene i karantene. Dette kan forårsake problemer for gamle SW-installasjoner.
  • Symantec har identifisert rundt 2000 selskaper som har fått lastet ned den ondsinnede DLL-filen, men analyser viser at bare et fåtall av disse har fått installert BACKDOOR.TEARDROP.
  • Det ble under etterforskning av SolarWinds-hendelsen avdekket en ekstra bakdør, kalt SUPERNOVA, som tilsynelatende er fra en annen trusselaktør. Denne ble funnet i følgende fil: App_Web_logoimagehandler.ashx.b6031896.dll.
    Mer informasjon om denne får du ved å henvende deg til oss på drift@nc-spectrum.no