Новости Mandiant: китайские хакеры UNC4540 шпионят через неисправленные устройства SonicWall

[NewsMaker]

Киберпреступники нацелены на устройства, содержащие критические уязвимости.​

---

---

По Для просмотра ссылки Войди или Зарегистрируйся Mandiant, китайские хакеры эксплуатируют неисправленные шлюзы SonicWall и заражают устройства вредоносным ПО для кражи учетных данных, которое сохраняется после обновления прошивки.

Шпионское ПО нацелено на SonicWall Secure Mobile Access (SMA) 100 Series — шлюз безопасного доступа, предоставляющий VPN-доступ удаленным пользователям.

Хотя атака не привязана к новой или конкретной уязвимости, компания SonicWall призывает организации применить Для просмотра ссылки Войди или Зарегистрируйся SMA 100 (10.2.1.7 или более поздняя версия), которая включает в себя дополнительные меры защиты и безопасности. По словам SonicWall, затронуто «чрезвычайно ограниченное количество неисправленных устройств серии SMA 100 с 2021 года».

Вышедшее на прошлой неделе Для просмотра ссылки Войди или Зарегистрируйся включает в себя дополнительные меры безопасности, такие как мониторинг целостности файлов (FIM) и идентификация аномальных процессов, а также обновления библиотеки Для просмотра ссылки Войди или Зарегистрируйся .

SonicWall не удалось определить первоначальный вектор атаки. Однако расследование показало, что неисправленные устройства содержали известные эксплуатируемые уязвимости Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся .

Для просмотра ссылки Войди или Зарегистрируйся отслеживает субъекта угрозы как UNC4540. Кроме того, эта кампания согласуется с тем, как китайские злоумышленники нацеливаются на сетевые устройства для использования эксплойтов нулевого дня, что предполагает участие китайских правительственных хакеров.

По данным Mandiant, в кампании хакеры используют вредоносное ПО, состоящее из bash-скриптов и одного бинарного Для просмотра ссылки Войди или Зарегистрируйся -файла, который исследователи идентифицировали как бэкдор TinyShell.

Вредоносное ПО использует bash-скрипт «firewalld», который выполняет SQL-команду для кражи учетных данных и выполнения бэкдора TinyShell. По словам специалистов, основной целью вредоносного ПО является кража хэшированных учетных данных всех вошедших в систему пользователей. Кроме того, вредоносное ПО сохраняет устойчивость, даже если устройство выйдет из строя.

Также bash-скрипт каждые 10 секунд проверяет наличие нового обновления прошивки. При наличии новой прошивки bash-скрипт копирует файл для резервного копирования, добавляет вредоносное ПО и возвращает пакет на место, что указывает на то, что киберпреступники пытаются понять цикл обновления устройства, а затем разработать метод сохранения.