SolarWinds发布官方通知，证实另一木马程式Supernova的存在

就在资安业者相继指出SolarWinds的Orion Platform平台除了被植入Sunburst木马程式以外，也出现了另一个名为Supernova的木马程式之后，SolarWinds在27日发布了官方的安全通知，证实Supernova的存在。

根据资安业者Palo Alto Networks的分析，Supernova为app_web_logoimagehandler.ashx.b6031896.dll的木马版，此一DLL档案原本是SolarWinds私有的.NET函式库，作为HTTP API使用，可回应Orion元件的查询，但骇客在此一档案中加入了4个新参数，再利用恶意的手法于Orion主机上执行它们。

SolarWinds则解释，Supernova与Sunburst不同，它并非属于供应链攻击，而是置放在一个不需授权就可存取客户网络的服务器上，并伪装成Supernova产品的一部分。Supernova恶意程式由两个元件所组成，其中之一为未经签署、且专为Orion平台撰写的恶意DLL档案，第二个则是利用Orion平台漏洞来部署该恶意DLL档案的开采程式。

由于Supernova与Sunburst的攻击手法大不相同，Sunburst不但具备签章，而且直接进驻了Orion平台构建系统，属于复杂的供应链攻击，而Supernova属于Webshell攻击，且不具签章，使得资安业者推测Orion平台可能同时遭到不同骇客集团的危害。对此，SolarWinds表示，此时该公司对Supernova与Sunburst之间是否有关并无定论，将继续与执法机关及资安业者密切合作以确定答案。

此外，不管是资安业者或SolarWinds都判断，这应是属于外国骇客集团的攻击行动，但SolarWinds说目前尚不确定攻击来源。

值得提醒的是，SolarWinds已释出可防范Supernova及Sunburst攻击的Orion Platform 2019.4 HF6与Orion Platform 2020.2.1 HF2，若无法立即升级，亦可下载SolarWinds所提供的暂时修补程式。