SCAMMER.PRO

SCAMMER.PRO

Mandiant: китайские хакеры UNC4540 шпионят через неисправленные устройства SonicWall

  • 13:30

По данным
Mandiant, китайские хакеры эксплуатируют неисправленные шлюзы SonicWall и заражают устройства вредоносным ПО для кражи учетных данных, которое сохраняется после обновления прошивки.

Шпионское ПО нацелено на SonicWall Secure Mobile Access (SMA) 100 Series — шлюз безопасного доступа, предоставляющий VPN-доступ удаленным пользователям.

Хотя атака не привязана к новой или конкретной уязвимости, компания SonicWall призывает организации применить обновление
SMA 100 (10.2.1.7 или более поздняя версия), которая включает в себя дополнительные меры защиты и безопасности. По словам SonicWall, затронуто «чрезвычайно ограниченное количество неисправленных устройств серии SMA 100 с 2021 года».

Вышедшее на прошлой неделе обновление
включает в себя дополнительные меры безопасности, такие как мониторинг целостности файлов (FIM) и идентификация аномальных процессов, а также обновления библиотеки OpenSSL — набор инструментов с открытым исходным кодом, который реализует протоколы и алгоритмы, необходимые для протоколов SSL (Secure Socket Layer) и TLS (Transport Layer Security).

» data-html=»true» data-original-title=»OpenSSL»>OpenSSL.

SonicWall не удалось определить первоначальный вектор атаки. Однако расследование показало, что неисправленные устройства содержали известные эксплуатируемые уязвимости CVE-2021-20016 , CVE-2021-20028 , CVE-2019-7483 и CVE-2019-7481 .

Mandiant — это компания, которая занимается информационной безопасностью и аналитикой инцидентов. Она специализируется на обнаружении и решении вопросов, связанных с киберпреступностью, таких как взломы, шпионаж, вредоносное ПО и кибертерроризм. Компания предлагает широкий спектр услуг, включая аналитику инцидентов, консультационные услуги, создание и тестирование систем защиты, а также обучение и поддержку.
Компания также сотрудничает с правоохранительными органами по всему

» data-html=»true» data-original-title=»Mandiant»>Mandiant отслеживает субъекта угрозы как UNC4540. Кроме того, эта кампания согласуется с тем, как китайские злоумышленники нацеливаются на сетевые устройства для использования эксплойтов нулевого дня, что предполагает участие китайских правительственных хакеров.

По данным Mandiant, в кампании хакеры используют вредоносное ПО, состоящее из bash-скриптов и одного бинарного Executable and Linkable Format (ELF) — это формат файла для двоичных исполняемых файлов, объектного кода, разделяемых библиотек и дампов ядра.  В настоящее время ELF считается стандартным форматом для Unix-подобных систем.

» data-html=»true» data-original-title=»ELF»>ELF-файла, который исследователи идентифицировали как бэкдор TinyShell.

Вредоносное ПО использует bash-скрипт «firewalld», который выполняет SQL-команду для кражи учетных данных и выполнения бэкдора TinyShell. По словам специалистов, основной целью вредоносного ПО является кража хэшированных учетных данных всех вошедших в систему пользователей. Кроме того, вредоносное ПО сохраняет устойчивость, даже если устройство выйдет из строя.

Также bash-скрипт каждые 10 секунд проверяет наличие нового обновления прошивки. При наличии новой прошивки bash-скрипт копирует файл для резервного копирования, добавляет вредоносное ПО и возвращает пакет на место, что указывает на то, что киберпреступники пытаются понять цикл обновления устройства, а затем разработать метод сохранения.

Источник

Секретная информация в Телеграм
SCAMMER.PRO
Telegram-plane Youtube