Denne nye skadevaren, gitt navnet SUPERNOVA, består av en usignert .dll som kan gi en angriper muligheten til å kjøre vilkårlig C#-kode gjennom SolarWind's HTTP API3. Microsoft mener, blant annet basert på at denne filen ikke er
signert på lik linje med SUNBURST, at det er en annen aktør som står
bak4.

SUNBURST ble benyttet for å levere en oppdatering med ondsinnet bakdør
til SolarWinds-kunder. Sikkerhetsselskaper mener derimot at
SUPERNOVA-webshellet benyttes for å laste ned, kompilere og kjøre et
ondsinnet Powershell-script (av noen navngitt COSMICGALE) hos
SolarWinds-kunder og at dette ikke har vært en del av den opprinnelige
nettverksoperasjonen med SUNBURST.

Videre blir den nye skadevaren som nevnt også levert som en DLL-fil for
Orion-applikasjonen. Mens SUNBURST leveres i
SolarWinds.Orion.Core.BusinessLayer.dll vil SUPERNOVA leveres i
App_Web_logoimagehandler[.]ashx.b6031896.dll. All innkommende trafikk
med URI som inneholder logoimagehandler[.]ashx med en kombinasjon av én
eller flere av disse fire parameterene bør undersøkes da de er en sterk
indikator på kompromittering5:
- -codes
- -clazz
- -method
- -args

Dersom sikkerhetsmekanismer trigger på ulike kombinasjoner av dette,
anbefaler NCSC å isolere instansen av SolarWinds Orion. Dersom
forepørslene kommer fra interne adresser i infrastrukturen, er det
sannsynlig at klienten som gjør oppslagene også er kompromittert.
NCSC anbefaler alle kunder av SolarWinds Orion å undersøke SUNBURST og
SUPERNOVA som separate hendelser. Dette gjelder spesielt for kunder som
har hatt SolarWinds Orion eksponert mot WAN eller i DMZ.



Referanser:
1 [NorCERT#20024427] Sårbarhet i SolarWinds Orion
2 [NorCERT#20316922] Oppdatert informasjon til SolarWinds Orion
3 https://unit42.paloaltonetworks.com/solarstorm-supernova/
4 https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/
5 https://www.guidepointsecurity.com/supernova-solarwinds-net-webshell-analysis/