SolarWinds發布官方通知，證實另一木馬程式Supernova的存在

就在資安業者相繼指出SolarWinds的Orion Platform平臺除了被植入Sunburst木馬程式以外，也出現了另一個名為Supernova的木馬程式之後，SolarWinds在27日發布了官方的安全通知，證實Supernova的存在。

根據資安業者Palo Alto Networks的分析，Supernova為app_web_logoimagehandler.ashx.b6031896.dll的木馬版，此一DLL檔案原本是SolarWinds私有的.NET函式庫，作為HTTP API使用，可回應Orion元件的查詢，但駭客在此一檔案中加入了4個新參數，再利用惡意的手法於Orion主機上執行它們。

SolarWinds則解釋，Supernova與Sunburst不同，它並非屬於供應鏈攻擊，而是置放在一個不需授權就可存取客戶網路的伺服器上，並偽裝成SolarWinds產品的一部分。Supernova惡意程式由兩個元件所組成，其中之一為未經簽署、且專為Orion平臺撰寫的惡意DLL檔案，第二個則是利用Orion平臺漏洞來部署該惡意DLL檔案的開採程式。

由於Supernova與Sunburst的攻擊手法大不相同，Sunburst不但具備簽章，而且直接進駐了Orion平臺構建系統，屬於複雜的供應鏈攻擊，而Supernova屬於Webshell攻擊，且不具簽章，使得資安業者推測Orion平臺可能同時遭到不同駭客集團的危害。對此，SolarWinds表示，此時該公司對Supernova與Sunburst之間是否有關並無定論，將繼續與執法機關及資安業者密切合作以確定答案。

此外，不管是資安業者或SolarWinds都判斷，這應是屬於外國駭客集團的攻擊行動，但SolarWinds說目前尚不確定攻擊來源。

值得提醒的是，SolarWinds已釋出可防範Supernova及Sunburst攻擊的Orion Platform 2019.4 HF6與Orion Platform 2020.2.1 HF2，若無法立即升級，亦可下載SolarWinds所提供的暫時修補程式。