esenfrdeitptru

Respuesta de CISA a incidente de seguridad de Malware denominado SUPERNOVA

AS-037-2021

Fecha: 24/Abril/2021

Resumen:

CISA respondió recientemente al incidente de seguridad denominado SUPERNOVA (publicado en: AR21-112A), un Malware con actores persistentes de amenazas avanzadas (APT) que iniciaron en marzo de 2020. El actor de amenazas se conectó a la red de la entidad a través de un dispositivo de red privada virtual (VPN) Pulse Secure, se trasladó lateralmente a un servidor SolarWinds Orion de la organización atacada e instaló malware al que se refieren los investigadores de seguridad como SUPERNOVA (webshell .NET) y recogió credenciales.

SUPERNOVA es una puerta trasera malintencionada que permite a un operador remoto insertar dinámicamente código fuente en C# en un portal web para insertar posteriormente código. Los actores de APT usan SUPERNOVA para realizar reconocimientos, realizar mapeo de dominios, robar información y credenciales confidenciales. (Mayor información del Malware: MAR-10319053-1.v1 - SUPERNOVA.)

CISA observó los comandos disfrazados en dos máquinas separadas: un servidor y una estación de trabajo. Los comandos ejecutados fueron:procdump.exe, wininit.exe, winrar, wininit.exe

  • cmd /c tasklist /vc:\windows\temp\TS_85ET.tmp
  • procdump.exe:

            cmd.exe c:\windows\temp\wininit.exe -accepteula -ma 992 c:\windows\temp\TS_9D3C.tmp

  • winrar.exe:

          c:\windows\temp\wininit.exe a c:\windows\temp\googleupdate.tmp -hpJimJameJump c:\windows\temp\TS_9D3C.tmp.dmp
         

Recomendaciones:

CISA recomienda a todas las organizaciones implementar las siguientes prácticas para fortalecer la postura de seguridad de los sistemas de su organización:

  • Compruebe si hay instancias de ejecutables comunes que se ejecutan con el hash de otro proceso por ejemplo, con el hash de .splunklogger.exeprocdump.
  • Implemente Multi factor de Autenticación (MFA), especialmente para cuentas con privilegios.
  • Utilice cuentas administrativas independientes en estaciones de trabajo.
  • Implementar la solución de contraseña de administrador local (LAPS).
  • Implemente el principio de privilegios mínimos en el acceso a los datos.
  • Utilice MFS para el acceso seguro de Escritorio remoto (RDP).
  • Implemente y mantenga las herramientas de defensa en los endpoints.
  • Asegúrese de que todo el software esté actualizado.
  • Si su organización ha utilizado alguna vez las versiones 2019.4 a 2020.2.1 HF1 de SolarWinds Orion, consulte la Directiva de Emergencia ED 21-01de CISA, la Alerta de actividad AA20-352A de CISA para obtener orientación adicional antes de aplicar parches.
  • Mantenga los motores de antivirus actualizados.
  • Restringir la capacidad de los usuarios (permisos) para instalar y ejecutar aplicaciones de software no deseadas. No agregue usuarios al grupo de administradores locales a menos que sea necesario• Aplique una directiva de contraseña segura e implemente cambios regulares de contraseña.
  • Habilite un firewall personal en estaciones de trabajo configuradas para denegar solicitudes de conexión no solicitadas.
  • Deshabilite servicios innecesarios en estaciones de trabajo y en los servidores de la organización.

Referencias:

https://us-cert.cisa.gov/ncas/current-activity/2021/04/22/cisa-incident-response-supernova-malware

https://us-cert.gov/ncas/analysis-reports/ar21-112a

https://www.darkreading.com/attacks-breaches/supernova-malware-actors-masqueraded-as-remote-workers-to-access-breached-network/d/d-id/1340812

https://www.securityweek.com/apt-abuses-pulse-secure-solarwinds-appliances-same-organization