.
Suspeitos de cibercriminosos chineses se concentraram em gateways SonicWall não corrigidos e estão infectando os dispositivos com malware para roubo de credenciais que persiste por meio de atualizações de firmware, de acordo com a Mandiant.
O spyware tem como alvo o SonicWall Secure Mobile Access (SMA) 100 Series – um dispositivo de gateway que fornece acesso VPN a usuários remotos.
O fornecedor de rede confirmou a campanha de malware em uma declaração enviada por e-mail para Strong The One:
A campanha visava “um número extremamente limitado de aparelhos da série SMA 100 sem correção a partir do período de 2021”, acrescentou o porta-voz.
Últimas semanas Atualização de Firmware – que o porta-voz descreveu como um “lançamento de manutenção” – incluiu proteção adicional, como File Integrity Monitoring (FIM) e identificação de processo anômalo, bem como atualizações da biblioteca OpenSSL.
Não está claro se esta campanha de malware está relacionada a campanhas anteriores infecções por ransomwareque teve como alvo alguns desses mesmos dispositivos em 2021. A Mandiant também ajudou a SonicWall a lidar com essa ameaça.
“A investigação conjunta revelou que os dispositivos conheciam vulnerabilidades exploradas desde 2019 e não foram corrigidas até 2021”, confirmou o porta-voz da SonicWall.
“A SonicWall não pode atribuir conclusivamente o vetor de ataque inicial, nem podemos correlacionar a atividade de ameaças com alta confiança a ataques de ransomware em 2021”, acrescentou o porta-voz. “A investigação, no entanto, revelou que os dispositivos não corrigidos eram vulneráveis a vulnerabilidades exploradas conhecidas, incluindo CVE-2021-20016, CVE-2021-20028, CVE-2019-7483 e CVE-2019-7481”.
De acordo com a avaliação da Mandiant, a campanha recém-identificada usa malware que consiste em scripts bash e um binário executável e vinculável que os caçadores de ameaças do Google identificaram como um backdoor do TinyShell.
“O comportamento geral do conjunto de scripts bash maliciosos mostra uma compreensão detalhada do dispositivo e é bem adaptado ao sistema para fornecer estabilidade e persistência”, observaram Daniel Lee, Stephen Eckels e Ben Read, da Mandiant, em uma postagem no blog.
Diga-me que é a China sem me dizendo é a China
A Mandiant rastreia o ator de ameaça como UNC4540 – UNC na nomenclatura de nomenclatura de agente de ameaça da Mandiant significa grupo não categorizado e se opõe a invasores de estado-nação (APT) e grupos de ameaças com motivação financeira (FIN).
No entanto, o fato de que o malware pode comprometer com sucesso os dispositivos gerenciados sugere que os invasores têm “uma boa quantidade de recursos e esforços”, de acordo com Lee, Eckels e Read.
Além disso, esta campanha é consistente com o padrão de comportamento dos agentes de ameaças chineses. dispositivos de rede de segmentação para explorações de dia zero, o que sugere que uma equipe apoiada por Pequim está por trás desse último esforço, acrescentou o trio.
O malware usa um script bash chamado firewalld que executa um comando SQL para roubar credenciais e executar outros componentes, incluindo o backdoor TinyShell. “O objetivo principal do malware parece ser roubar credenciais com hash de todos os usuários conectados”, disse a equipe da Mandiant.
Os criminosos também “colocam esforços significativos” para garantir estabilidade e persistência para o malware, acrescentaram os caçadores de ameaças. Isso inclui escrever scripts redundantes para garantir que o malware seja implantado, mesmo se o dispositivo travar.
Além disso, um script bash verifica a cada dez segundos se há uma nova atualização de firmware. Quando ele vê um, ele copia o arquivo para backup, adiciona o malware e coloca o pacote de volta no lugar, o que mostra “um esforço considerável por parte do invasor para entender o ciclo de atualização do dispositivo e, em seguida, desenvolver e testar um método de persistência, “, escreveu o trio.
De acordo com o CTO da Mandiant Consulting, Charles Carmakal, a principal conclusão desta campanha é que “grupos de ciberespionagem continuam a se concentrar em explorar sistemas que não suportam EDR [endpoint detection and response] soluções”.
“Eles percebem que muitas organizações dependem de soluções EDR para detectar e se defender contra ataques”, disse Carmakal Strong The One. “Vimos agentes de ameaças baseados na China e na Rússia explorarem vulnerabilidades de dia zero e implantarem malware em uma ampla variedade de soluções de tecnologia e segurança, como dispositivos VPN, hipervisores, balanceadores de carga, firewalls, produtos de segurança de e-mail, dispositivos IOT, matrizes SAN, etc.”
Carmakal também elogiou a SonicWall pela atualização do firmware, que “permitirá que as organizações detectem melhor os dispositivos comprometidos” e disse que espera que “mais fornecedores enviem códigos semelhantes para seus dispositivos”. ®
.
