SonicWall cihazları bazı çok kalıcı kötü amaçlı yazılımlar tarafından saldırıya uğruyor (yeni sekmede açılır) Uzmanların iddiasına göre, birden çok üretici yazılımı güncellemesiyle hayatta kalabilen.
Mandiant ve SonicWall’dan siber güvenlik araştırmacıları kısa bir süre önce, SonicWall Güvenli Mobil Erişim (SMA) cihazları için özel olarak tasarlanmış, büyük olasılıkla UNC4540 adlı Çinli bir tehdit aktörü tarafından tasarlanmış, özel olarak oluşturulmuş bir kötü amaçlı yazılım keşfetti.
Araştırmacılar, özellikleri, geliştirildiği cihazların “derinlemesine anlaşıldığını” gösteriyor ve kötü amaçlı yazılım, kullanıcı şifrelerini çalmanın yanı sıra kabuk erişimi sağlama yeteneğine sahip olduğundan, casusluk için tasarlandı.
Uzaktan erişim kurulması
Mandiant, “Kötü amaçlı bash betikleri paketinin genel davranışı, aygıtın ayrıntılı bir şekilde anlaşıldığını gösteriyor ve kararlılık ve kalıcılık sağlamak için sisteme iyi uyarlanmış durumda.” dedi.
Ana modül, güvenliği ihlal edilmiş uç noktalarda oturum açmış tüm kullanıcıların karma kimlik bilgilerini çalabilir, bunları bir metin dosyasına kopyalayabilir ve başka bir yerde şifresi çözülmek üzere gönderebilir. Başka bir modül, kolay uzaktan erişim için bir ters kabuk oluşturur. Ayrıca araştırmacılar, amacını hala belirleyemedikleri meşru bir SonicWall ikili dosyasına küçük bir yama ekleyen bir modül buldular.
Araştırmacılar, saldırganların bu cihazları kötü amaçlı yazılımla tehlikeye atmak için hangi güvenlik açığını kullandıklarını da belirleyemediler, ancak kötü amaçlı yazılımın yıllar önce konuşlandırıldığından ve birden çok ürün yazılımı güncellemesinden başarılı bir şekilde geçtiğinden şüpheleniyorlar. İlk uzlaşmanın 2021’de yapılmış olabileceğine inanıyorlar.
Cihazlarınızı bunun gibi bilinmeyen tehditlere karşı korumak için en iyi hareket tarzı en son güvenlik güncellemelerini uygulamaktır. Yayın, SonicWall’ın hedeflenen cihazlar için en son sürümünün 10.2.1.7 olduğunu söylüyor ve yamanın “bu tehdidi algılaması ve durdurması gereken” iki özellik olan Dosya Bütünlüğü İzleme (FIM) ve anormal süreç tanımlamayı içerdiğini ekliyor.
“Son yıllarda Çinli saldırganlar, tam kurumsal izinsiz girişe giden bir yol olarak internete bakan çeşitli ağ aygıtları için birden çok sıfır gün açıklarından yararlanma ve kötü amaçlı yazılım dağıttı ve burada bildirilen örnek, Mandiant’ın yakın gelecekte devam etmesini beklediği yeni bir modelin parçası. terim,” diye tamamladı Mandiant.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)