Mandiant: китайские хакеры UNC4540 шпионят через неисправленные устройства SonicWall

По данным Mandiant, китайские хакеры эксплуатируют неисправленные шлюзы SonicWall и заражают устройства вредоносным ПО для кражи учетных данных, которое сохраняется после обновления прошивки.

Шпионское ПО нацелено на SonicWall Secure Mobile Access (SMA) 100 Series — шлюз безопасного доступа, предоставляющий VPN-доступ удаленным пользователям.

Хотя атака не привязана к новой или конкретной уязвимости, компания SonicWall призывает организации применить обновление SMA 100 (10.2.1.7 или более поздняя версия), которая включает в себя дополнительные меры защиты и безопасности. По словам SonicWall, затронуто «чрезвычайно ограниченное количество неисправленных устройств серии SMA 100 с 2021 года».

Вышедшее на прошлой неделе обновление включает в себя дополнительные меры безопасности, такие как мониторинг целостности файлов (FIM) и идентификация аномальных процессов, а также обновления библиотеки OpenSSL .

SonicWall не удалось определить первоначальный вектор атаки. Однако расследование показало, что неисправленные устройства содержали известные эксплуатируемые уязвимости CVE-2021-20016 , CVE-2021-20028 , CVE-2019-7483 и CVE-2019-7481 .

Mandiant отслеживает субъекта угрозы как UNC4540. Кроме того, эта кампания согласуется с тем, как китайские злоумышленники нацеливаются на сетевые устройства для использования эксплойтов нулевого дня, что предполагает участие китайских правительственных хакеров.

По данным Mandiant, в кампании хакеры используют вредоносное ПО, состоящее из bash-скриптов и одного бинарного ELF -файла, который исследователи идентифицировали как бэкдор TinyShell.

Вредоносное ПО использует bash-скрипт «firewalld», который выполняет SQL-команду для кражи учетных данных и выполнения бэкдора TinyShell. По словам специалистов, основной целью вредоносного ПО является кража хэшированных учетных данных всех вошедших в систему пользователей. Кроме того, вредоносное ПО сохраняет устойчивость, даже если устройство выйдет из строя.

Также bash-скрипт каждые 10 секунд проверяет наличие нового обновления прошивки. При наличии новой прошивки bash-скрипт копирует файл для резервного копирования, добавляет вредоносное ПО и возвращает пакет на место, что указывает на то, что киберпреступники пытаются понять цикл обновления устройства, а затем разработать метод сохранения.