• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Mandiant: китайские хакеры UNC4540 шпионят через неисправленные устройства SonicWall

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

По данным Mandiant, китайские хакеры эксплуатируют неисправленные шлюзы SonicWall и заражают устройства вредоносным ПО для кражи учетных данных, которое сохраняется после обновления прошивки.

Шпионское ПО нацелено на SonicWall Secure Mobile Access (SMA) 100 Series — шлюз безопасного доступа, предоставляющий VPN-доступ удаленным пользователям.
Хотя атака не привязана к новой или конкретной уязвимости, компания SonicWall призывает организации применить обновление SMA 100 (10.2.1.7 или более поздняя версия), которая включает в себя дополнительные меры защиты и безопасности. По словам SonicWall, затронуто «чрезвычайно ограниченное количество неисправленных устройств серии SMA 100 с 2021 года».

Вышедшее на прошлой неделе обновление включает в себя дополнительные меры безопасности, такие как мониторинг целостности файлов (FIM) и идентификация аномальных процессов, а также обновления библиотеки OpenSSL.

SonicWall не удалось определить первоначальный вектор атаки. Однако расследование показало, что неисправленные устройства содержали известные эксплуатируемые уязвимости CVE-2021-20016 , CVE-2021-20028 , CVE-2019-7483 и CVE-2019-7481.

Mandiant отслеживает субъекта угрозы как UNC4540. Кроме того, эта кампания согласуется с тем, как китайские злоумышленники нацеливаются на сетевые устройства для использования эксплойтов нулевого дня, что предполагает участие китайских правительственных хакеров.

По данным Mandiant, в кампании хакеры используют вредоносное ПО, состоящее из bash-скриптов и одного бинарного ELF-файла, который исследователи идентифицировали как бэкдор TinyShell.

Вредоносное ПО использует bash-скрипт «firewalld», который выполняет SQL-команду для кражи учетных данных и выполнения бэкдора TinyShell. По словам специалистов, основной целью вредоносного ПО является кража хэшированных учетных данных всех вошедших в систему пользователей. Кроме того, вредоносное ПО сохраняет устойчивость, даже если устройство выйдет из строя.

Также bash-скрипт каждые 10 секунд проверяет наличие нового обновления прошивки. При наличии новой прошивки bash-скрипт копирует файл для резервного копирования, добавляет вредоносное ПО и возвращает пакет на место, что указывает на то, что киберпреступники пытаются понять цикл обновления устройства, а затем разработать метод сохранения.
 
Сверху