Деятельность SUPERNOVA и возможная связь с группой угроз SPIRAL. [Исследовательская суббота]

Приглашенный гость Майк МакЛеллан из Secureworks присоединяется к нам, чтобы поделиться выводами его команды о SUPERNOVA и атрибуции групп угроз. Сходства между SUPERNOVA-активностью и предыдущим компрометацией сети предполагают, что SPIRAL была ответственна за оба вторжения и раскрывают информацию о группе угроз. В конце 2020 года исследователи Secureworks® Counter Threat Unit™ (CTU) наблюдали за угрозой, эксплуатирующей интернет-ориентированный сервер SolarWinds для развертывания веб-оболочки SUPERNOVA. Дополнительный анализ выявил сходства с активностью вторжения, выявленной на той же сети ранее в 2020 году, что предполагает связь между двумя вторжениями. Исследователи CTU™ атрибутируют вторжения группе угроз SPIRAL. Характеристики активности предполагают, что группа базируется в Китае. Исследование можно найти здесь: Развертывание веб-оболочки SUPERNOVA связано с группой угроз SPIRAL