Lesezeit
1 Minute
Cyberangriff missbraucht Admin-Tool SolarWinds Orion
Vor wenigen Tagen ist die russische Hacker-Gruppe Cozy Bear, auch als APT29 bekannt, in das Netzwerk des US-Finanz- und Handelsministeriums eingedrungen – so ein Bericht der Washington Post. Die Angreifer sollen dabei das Admin-Tool SolarWinds Orion kompromittiert haben, in das sie bereits im März 2020 eine Backdoor einbauten. Diese wurde dem Bericht zufolge dann genutzt, um nach der Installation des betroffenen Updates weitere Ziele zu infizieren.
Da die Software auf Lieferantenebene kompromittiert wurde, war sie laut dem ebenfalls gehackten Sicherheitsanbieter FireEye mit gültigen Signaturen digital signiert. Daher wurde sie von Anti-Virus- oder Betriebssystem-Schutzmaßnahmen nicht erkannt. Der Einbruch soll seinen Ursprung in einem Supply-Chain-Angriff über die Orion-Plattform gehabt haben, um eine Malware namens SUNBURST zu liefern.
Nachdem das Opfer die infizierte Software installiert hatte, nutzte die APT-Gruppe privilegierte Konten, um sich lateral durch das Netzwerk zu bewegen und schließlich die Anmeldeinformationen eines Domain-Administrator-Kontos oder das SAML-Signaturzertifikat zu erhalten. Dies ermöglichte es den Angreifern, sich auf ein beliebiges lokales Gerät oder eine Cloudinfrastruktur zu bewegen. Diese Zugriffsebene ließ sich nutzen, um neue privilegierte Konten zu fälschen und einen festeren Fuß in der Organisation zu fassen.
Wonach Unternehmen in ihrer Umgebung suchen sollten
Unternehmen, die Tools zum Sammeln von Netzwerk-Metadaten verwenden, sollten die Aktivität im Zusammenhang mit der verknüpften APT29-Domain in den iSession-Metadaten-Streams überprüfen:
Überprüfen Sie Aktivitäten, die von SolarWinds-Systemen unerwartet sind, über alle Metadaten hinweg:
Sie sollten die Aktivität im Zusammenhang mit Admin-AD-Konten in den Kerberos_txn-Metadaten überprüfen:
Überprüfen Sie die Aktivität in Bezug auf Admin-Konten in den NTLM-Metadaten:
Überprüfen Sie die Aktivität in Bezug auf Administratorkonten in den RDP-Metadaten (beachten Sie, dass RDP-Cookies bei 9 Zeichen abgeschnitten werden):
SolarWinds hat ein Advisory [1] herausgegeben, das offenlegt, dass die Orion-Plattform, die zwischen März 2020 und Juni 2020 veröffentlicht wurde, betroffen ist. Der Hersteller empfiehlt allen Kunden so schnell wie möglich auf die Version 2020.2.1 HF 1 zu aktualisieren.
jm
[1] https://www.solarwinds.com/securityadvisory
Nachdem das Opfer die infizierte Software installiert hatte, nutzte die APT-Gruppe privilegierte Konten, um sich lateral durch das Netzwerk zu bewegen und schließlich die Anmeldeinformationen eines Domain-Administrator-Kontos oder das SAML-Signaturzertifikat zu erhalten. Dies ermöglichte es den Angreifern, sich auf ein beliebiges lokales Gerät oder eine Cloudinfrastruktur zu bewegen. Diese Zugriffsebene ließ sich nutzen, um neue privilegierte Konten zu fälschen und einen festeren Fuß in der Organisation zu fassen.
Wonach Unternehmen in ihrer Umgebung suchen sollten
Unternehmen, die Tools zum Sammeln von Netzwerk-Metadaten verwenden, sollten die Aktivität im Zusammenhang mit der verknüpften APT29-Domain in den iSession-Metadaten-Streams überprüfen:
- resp_hostname:*. appsync-api.eu-west-1.avsvmcloud[.]com (ohne die eckigen Klammern)
- resp_hostname:*. appsync-api.eu-west-2.avsvmcloud[.]com (Ohne die eckigen Klammern)
Überprüfen Sie Aktivitäten, die von SolarWinds-Systemen unerwartet sind, über alle Metadaten hinweg:
- orig_hostname:(solarwinds_01* OR SolarWinds_01*)
Sie sollten die Aktivität im Zusammenhang mit Admin-AD-Konten in den Kerberos_txn-Metadaten überprüfen:
- client:(*admin_account* OR *Admin_Account*)
Überprüfen Sie die Aktivität in Bezug auf Admin-Konten in den NTLM-Metadaten:
- username:(*admin_account* OR *Admin_Account*)
Überprüfen Sie die Aktivität in Bezug auf Administratorkonten in den RDP-Metadaten (beachten Sie, dass RDP-Cookies bei 9 Zeichen abgeschnitten werden):
- cookie:(admin_acc OR Admin_Acc)
- Das Cookie-Feld kann auch den Domainnamen vor dem Benutzernamen enthalten. Wenn dies der Fall zu sein scheint, führen Sie Suchen durch, bei denen ein SolarWinds-Server die Quelle ist.
SolarWinds hat ein Advisory [1] herausgegeben, das offenlegt, dass die Orion-Plattform, die zwischen März 2020 und Juni 2020 veröffentlicht wurde, betroffen ist. Der Hersteller empfiehlt allen Kunden so schnell wie möglich auf die Version 2020.2.1 HF 1 zu aktualisieren.
jm
[1] https://www.solarwinds.com/securityadvisory