SonicWall подвергается атакам очень стойких вредоносных программ
11 марта 2023 г.Устройства SonicWall подвергаются атакам некоторых очень стойких вредоносных программ, способных эксперты утверждают, что выживают благодаря многочисленным обновлениям прошивки.
Исследователи кибербезопасности из Mandiant и SonicWall недавно обнаружили специально созданное вредоносное ПО, разработанное специально для устройств SonicWall Secure Mobile Access (SMA), скорее всего, разработанное китайской угрозой. актер по прозвищу UNC4540.
Его характеристики показывают «глубокое понимание» устройств, для которых оно было создано, а вредоносное ПО предназначено для шпионажа, утверждают исследователи, поскольку оно способно красть пароли пользователей, а также предоставлять доступ к оболочке.
Установка удаленного доступа
«Общее поведение набора вредоносных скриптов bash показывает детальное понимание устройства и хорошо адаптировано к системе для обеспечения стабильности и устойчивости», — сказал Мандиант.
Основной модуль может украсть хешированные учетные данные всех пользователей, которые вошли в скомпрометированные конечные точки, скопируйте их в текстовый файл и отправьте для расшифровки в другом месте.Другой модуль устанавливает обратную оболочку для легкого удаленного доступа.Также исследователи обнаружили модуль, который добавляет небольшой патч к законному двоичному файлу SonicWall, назначение которого они так и не смогли определить.
Исследователи также не смогли определить, какую уязвимость использовали злоумышленники для компрометации этих устройств с помощью вредоносного ПО, но они подозревают вредоносное ПО была развернута много лет назад и успешно пережила несколько обновлений встроенного ПО. Они считают, что первоначальный взлом мог быть сделан еще в 2021 году.
Чтобы защитить свои устройства от неизвестных угроз, таких как эта, лучше всего установить последние обновления безопасности. В публикации говорится, что последней версией SonicWall для целевых устройств является 10.2.1.7, добавляя, что исправление включает в себя мониторинг целостности файлов (FIM) и идентификацию аномальных процессов, две функции, «которые должны обнаруживать и останавливать эту угрозу».
«В последние годы китайские злоумышленники развернули несколько эксплойтов нулевого дня и вредоносное ПО для различных сетевых устройств, подключенных к Интернету, в качестве пути к полному вторжению в предприятие, и описанный здесь случай является частью недавней схемы, которую Mandiant ожидает продолжить в ближайшем будущем. срок", - заключил Мандиант.
- Это лучшие брандмауэры на данный момент
Через: BleepingComputer
Оригинал