SolarWinds製品悪用のハッキング、「第2の攻撃者」がいた--マイクロソフトが示唆

　SolarWindsのソフトウェアを利用したサプライチェーン攻撃に対する犯罪科学的調査で証拠が徐々に見つかる中、Microsoftのセキュリティ研究者らは、同ソフトウェアを利用して企業や政府機関のネットワークにマルウェアを挿入した2番目の攻撃者が存在する可能性があることを、米国時間12月18日に明らかにしている。

　それによると、この2番目の攻撃者に関する情報はまだほとんど分かっていないが、SolarWindsのネットワークに侵入し、同社のネットワーク運用ソフトウェア「Orion」にマルウェアを挿入したとみられるロシア政府系ハッカーとのつながりはなさそうだという。

　最初の攻撃で使用されたマルウェア（コード名「SUNBURST（別名Solorigate）」）は、トロイの木馬化されたOrionアプリケーションのアップデートを介してSolarWindsの顧客に配布された。

提供：Microsoft

　このマルウェアは、第2段階の攻撃としてバックドア型トロイの木馬（コード名「TEARDROP」）をダウンロードし、人手による攻撃（human-operated attack）とも呼ばれるハンズオンキーボード攻撃を開始できるようにする。

　だが、SolarWindsへのハッキングが公になってから数日で公開された初期のレポートは、第2段階のペイロードが2種類あることを示唆していた。

　Guidepoint、Symantec、Palo Alto Networksの各社は、攻撃者が.NETウェブシェル「SUPERNOVA」も埋め込んでいたことをレポートで報告していた。

　セキュリティ研究者らは、攻撃者がこのSUPERNOVAウェブシェルを使って、悪意のあるPowershellスクリプト（一部では「COSMICGALE」というコード名で呼ばれている）をダウンロードし、コンパイルして実行していたと考えた。

　しかし、Microsoftのセキュリティチームはその後の分析で、SUPERNOVAウェブシェルが最初の攻撃チェーンの一部ではなかったとの見解を明らかにした。

　そのため、インストールしたSolarWindsソフトウェアでSUPERNOVAが検出された企業は、このインシデントを別の攻撃とみなす必要がある。

　MicrosoftのセキュリティアナリストNick Carr氏もGitHubへの投稿で、SUPERNOVAウェブシェルが悪用される可能性はあるものの、最初のソフトウェアサプライチェーン攻撃との関連性は見られないとしている。

GuidePoint Security’s DFIR team has reverse-engineered the SUPERNOVA webshell involved in the #SolarWindsOrion supply chain attack in our latest blog post. Learn how the shell works and our recommendations for detection and response. https://t.co/zIr2xg81et #SolarWinds #UNC2542 pic.twitter.com/giwtYcBIG1

— @guidepointsec (@GuidePointSec) December 15, 2020

　このSUPERNOVAがSUNBURSTとTEARDROPを利用した攻撃チェーンに関連しているという誤解が生じたのは、SUPERNOVAがSUNBURSTと同じくOrionのDLLに偽装していたからだ。SUNBURSTはSolarWinds.Orion.Core.BusinessLayer.dllファイルに、SUPERNOVAはApp_Web_logoimagehandler.ashx.b6031896.dllファイルにそれぞれ埋め込まれていた。