Yama uygulanmamış SonicWall’ı hedef alan Çin bağlantılı şüpheli bir bilgisayar korsanlığı kampanyası gözlemlendi Güvenli Mobil Erişim (SMA) 100 cihazları kötü amaçlı yazılımı bırakmak ve uzun vadeli kalıcılık sağlamak.
Siber güvenlik şirketi Mandiant, “Kötü amaçlı yazılım, kullanıcı kimlik bilgilerini çalma, kabuk erişimi sağlama ve ürün yazılımı yükseltmeleri yoluyla devam etme işlevlerine sahiptir.” söz konusu bu hafta yayınlanan bir teknik raporda.
Google’ın sahibi olduğu olay müdahale ve tehdit istihbaratı firması, etkinliği kategorize edilmemiş takma adı altında izliyor UNC4540.
Bir bash betikleri koleksiyonu ve TinyShell arka kapısı olarak tanımlanan tek bir ELF ikili dosyasından oluşan kötü amaçlı yazılım, saldırganın SonicWall cihazlarına ayrıcalıklı erişim sağlaması için tasarlandı.
Özel araç setinin arkasındaki genel amaç, kötü amaçlı yazılımın, saldırganın oturum açmış tüm kullanıcıların kriptografik olarak hashlenmiş kimlik bilgilerini sifonlamasına izin vermesiyle, kimlik bilgisi hırsızlığı gibi görünüyor. Ayrıca, güvenliği ihlal edilmiş cihaza kabuk erişimi sağlar.
Mandiant ayrıca, saldırganın cihaz yazılımını derinlemesine anladığının yanı sıra, üretici yazılımı güncellemelerinde kalıcılık sağlayabilen ve ağ üzerinde bir dayanak noktası sağlayabilen özel kötü amaçlı yazılım geliştirme becerilerini de vurguladı.
Saldırıda kullanılan tam ilk izinsiz giriş vektörü bilinmiyor ve kötü amaçlı yazılımın, bazı durumlarda 2021 gibi erken bir tarihte, bilinen güvenlik açıklarından yararlanılarak cihazlara yerleştirildiğinden şüpheleniliyor.
Açıklamayla aynı zamana denk gelen SonicWall, yayınlanan güncellemeler (sürüm 10.2.1.7), Dosya Bütünlüğü İzleme (FIM) ve anormal işlem tanımlama gibi yeni güvenlik geliştirmeleriyle birlikte gelir.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
Gelişme, başka bir China-nexus tehdit aktörünün, Fortinet FortiOS SSL-VPN’deki artık yamalanmış bir güvenlik açığından, bir Avrupa devlet kuruluşunu ve Afrika’da yerleşik bir yönetilen hizmet sağlayıcıyı (MSP) hedef alan saldırılarda sıfır gün olarak yararlandığının tespit edilmesinden yaklaşık iki ay sonra geldi. .
Mandiant, “Son yıllarda Çinli saldırganlar, tam kurumsal izinsiz girişe giden bir yol olarak, internete bakan çeşitli ağ aygıtları için birden çok sıfır gün açıklarından yararlanma ve kötü amaçlı yazılım dağıttı.”
