Se ha observado una sospechosa campaña de piratería vinculada a China dirigida a SonicWall sin parches Dispositivos Secure Mobile Access (SMA) 100 para colocar malware y establecer una persistencia a largo plazo.
«El malware tiene la funcionalidad de robar credenciales de usuario, proporcionar acceso de shell y persistir a través de actualizaciones de firmware», empresa de seguridad cibernética Mandiant dicho en un informe técnico publicado esta semana.
La firma de inteligencia de amenazas y respuesta a incidentes propiedad de Google está rastreando la actividad bajo su nombre no categorizado. UNC4540.
El malware, una colección de scripts bash y un solo binario ELF identificado como una puerta trasera TinyShell, está diseñado para otorgar al atacante acceso privilegiado a los dispositivos SonicWall.
El objetivo general detrás del conjunto de herramientas personalizado parece ser el robo de credenciales, con el malware que permite al adversario desviar las credenciales cifradas criptográficamente de todos los usuarios registrados. Además, proporciona acceso de shell al dispositivo comprometido.
Mandiant también mencionó la comprensión profunda del atacante del software del dispositivo, así como su capacidad para desarrollar malware personalizado que puede lograr la persistencia en las actualizaciones de firmware y mantener un punto de apoyo en la red.
Se desconoce el vector de intrusión inicial exacto utilizado en el ataque, y se sospecha que el malware probablemente se implementó en los dispositivos, en algunos casos ya en 2021, al aprovechar fallas de seguridad conocidas.
Coincidiendo con la divulgación, SonicWall ha actualizaciones publicadas (versión 10.2.1.7) que vienen con nuevas mejoras de seguridad como el Monitoreo de integridad de archivos (FIM) y la identificación de procesos anómalos.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
El desarrollo se produce casi dos meses después de que se descubriera que otro actor de amenazas de China-nexus explotaba una vulnerabilidad ahora parcheada en Fortinet FortiOS SSL-VPN como un ataque de día cero contra una entidad gubernamental europea y un proveedor de servicios gestionados (MSP) ubicado en África. .
«En los últimos años, los atacantes chinos han implementado múltiples exploits de día cero y malware para una variedad de dispositivos de red orientados a Internet como una ruta hacia la intrusión empresarial completa», dijo Mandiant.