Respuesta de CISA a incidente de seguridad de Malware denominado SUPERNOVA
AS-037-2021
Fecha: 24/Abril/2021
Resumen:
CISA respondió recientemente al incidente de seguridad denominado SUPERNOVA (publicado en: AR21-112A), un Malware con actores persistentes de amenazas avanzadas (APT) que iniciaron en marzo de 2020. El actor de amenazas se conectó a la red de la entidad a través de un dispositivo de red privada virtual (VPN) Pulse Secure, se trasladó lateralmente a un servidor SolarWinds Orion de la organización atacada e instaló malware al que se refieren los investigadores de seguridad como SUPERNOVA (webshell .NET) y recogió credenciales.
SUPERNOVA es una puerta trasera malintencionada que permite a un operador remoto insertar dinámicamente código fuente en C# en un portal web para insertar posteriormente código. Los actores de APT usan SUPERNOVA para realizar reconocimientos, realizar mapeo de dominios, robar información y credenciales confidenciales. (Mayor información del Malware: MAR-10319053-1.v1 - SUPERNOVA.)
CISA observó los comandos disfrazados en dos máquinas separadas: un servidor y una estación de trabajo. Los comandos ejecutados fueron:procdump.exe, wininit.exe, winrar, wininit.exe
- cmd /c tasklist /vc:\windows\temp\TS_85ET.tmp
- procdump.exe:
cmd.exe c:\windows\temp\wininit.exe -accepteula -ma 992 c:\windows\temp\TS_9D3C.tmp
- winrar.exe:
c:\windows\temp\wininit.exe a c:\windows\temp\googleupdate.tmp -hpJimJameJump c:\windows\temp\TS_9D3C.tmp.dmp
Recomendaciones:
CISA recomienda a todas las organizaciones implementar las siguientes prácticas para fortalecer la postura de seguridad de los sistemas de su organización:
- Compruebe si hay instancias de ejecutables comunes que se ejecutan con el hash de otro proceso por ejemplo, con el hash de .splunklogger.exeprocdump.
- Implemente Multi factor de Autenticación (MFA), especialmente para cuentas con privilegios.
- Utilice cuentas administrativas independientes en estaciones de trabajo.
- Implementar la solución de contraseña de administrador local (LAPS).
- Implemente el principio de privilegios mínimos en el acceso a los datos.
- Utilice MFS para el acceso seguro de Escritorio remoto (RDP).
- Implemente y mantenga las herramientas de defensa en los endpoints.
- Asegúrese de que todo el software esté actualizado.
- Si su organización ha utilizado alguna vez las versiones 2019.4 a 2020.2.1 HF1 de SolarWinds Orion, consulte la Directiva de Emergencia ED 21-01de CISA, la Alerta de actividad AA20-352A de CISA para obtener orientación adicional antes de aplicar parches.
- Mantenga los motores de antivirus actualizados.
- Restringir la capacidad de los usuarios (permisos) para instalar y ejecutar aplicaciones de software no deseadas. No agregue usuarios al grupo de administradores locales a menos que sea necesario• Aplique una directiva de contraseña segura e implemente cambios regulares de contraseña.
- Habilite un firewall personal en estaciones de trabajo configuradas para denegar solicitudes de conexión no solicitadas.
- Deshabilite servicios innecesarios en estaciones de trabajo y en los servidores de la organización.
Referencias:
https://us-cert.cisa.gov/ncas/current-activity/2021/04/22/cisa-incident-response-supernova-malware
https://us-cert.gov/ncas/analysis-reports/ar21-112a
https://www.securityweek.com/apt-abuses-pulse-secure-solarwinds-appliances-same-organization