发动SolarWinds供应链攻击的骇客不只1组！多家资安厂商发现新的后门程式Supernova

锁定网管系统SolarWinds Orion的供应链攻击事件，引起轩然大波，但在事发3天后（12月15日到18日），我们看到陆续有多家资安业者，包含GuidePoint、微软、Palo Alto Networks，以及赛门铁克，他们表示攻击的来源可能不只一个，因为，他们发现了另一个名为Supernova的后门程式。由于Supernova的手法，与先前FireEye于13日揭露的SunBurst（或称为Solarigate）后门程式行径，可说是大不相同，因此他们研判，是另一个骇客组织发起的攻击行动。

有多家资安业者指出本次供应链攻击的事故，有第2组骇客出手的情况，我们看到新闻网站ZDNet与Bleeping Computer，在21日率先报导此事。其中，Palo Alto的研究人员，针对Supernova揭露较为详细的分析结果，并指出另一家资安业者GuidePoint揭露的资讯，与他们的大致相同。

他们认为，该后门程式是针对SolarWinds Orion而来，这是伪冒成合法.NET程式库（App_web_logoimagehandler.ashx.b6031896.dll）的木马程式，而原本这只程式库的用途，是提供HTTP API，让Orion主机收到指定的GIF图片档案时，回应其他的子系统。Palo Alto指出，骇客植入此DLL档案的程式码看似无直接危害，导致资安系统可能会轻易放行，甚至是用人工鉴识来调查，也可能会忽略。

为何会看起来没有问题？Palo Alto表示，因为Supernova的网页壳层是在内存内（In-Memory）运作，其酬载（Payload）则是动态产生及执行，骇客这么做的结果，就是在受害电脑里的磁盘完全没有留下执行档案的痕迹，使得数位鉴识与事件回应的分析变得更加困难。

而这个Supernova后门程式也不是直接执行。事实上，研究人员指出，骇客是借由有效的.NET应用程序，以参数的方式来挟带执行Supernova，利用这个后门程式在受害组织的SolarWinds Orion系统里，来下载、编译，以及执行恶意的PowerShell脚本。

Palo Alto指出，相较于SunBurst，利用Supernova发动攻击行动的样貌尚不甚明朗，但他们认为并非是制作SunBurst的骇客出手，主要原因是Supernova不像SunBurst冒用合法签章，再加上这2个后门程式的攻击手法差异极大。而微软的资安研究员Nick Carr，17日于推特上首度提出这样的看法，而微软后来也在部落格上，提出类似的观点。

This is excellent analysis of a webshell!
However, SUPERNOVA & COSMICGALE are unrelated to this intrusion campaign.
You should definitely investigate them separately bc they are interesting – but don’t let it distract from the SUNBURST intrusions.
Details: https://t.co/6FA6VlABV3

— Nick Carr (@ItsReallyNick) December 17, 2020