Uma campanha suspeita de hacking relacionada à China tem como alvo os dispositivos SonicWall Secure Mobile Access (SMA) 100 não atualizados para instalar malware e estabelecer persistência de longo prazo.
"O malware tem a funcionalidade de roubar credenciais de usuário, fornecer acesso shell e persistir por meio de atualizações de firmware", afirmou a empresa de segurança cibernética Mandiant em um relatório técnico publicado esta semana.
A empresa de inteligência de ameaças e resposta a incidentes de propriedade do Google está rastreando a atividade sob o nome UNC4540.
O malware - uma coleção de scripts bash e um único binário ELF identificado como uma porta dos fundos TinyShell - foi projetado para conceder ao atacante acesso privilegiado aos dispositivos SonicWall.
O objetivo geral por trás do conjunto de ferramentas personalizado parece ser o roubo de credenciais, com o malware permitindo que o adversário sifone as credenciais criptografadas de todos os usuários conectados.
Ele também fornece acesso shell ao dispositivo comprometido.
Mandiant também destacou a compreensão aprofundada do software do dispositivo pelo atacante, bem como sua capacidade de desenvolver malware personalizado que pode alcançar persistência em atualizações de firmware e manter uma presença na rede.
O vetor de intrusão inicial exato usado no ataque é desconhecido, e suspeita-se que o malware tenha sido implantado nos dispositivos, em alguns casos, já em 2021, aproveitando falhas de segurança conhecidas.
Coincidindo com a divulgação, a SonicWall lançou atualizações (versão 10.2.1.7) que vêm com novos aprimoramentos de segurança, como monitoramento de integridade de arquivos (FIM) e identificação de processos anômalos.
Em um comunicado compartilhado com o The Hacker News, a SonicWall informou que a campanha visava "um número extremamente limitado de dispositivos da série SMA 100 não atualizados a partir do período de 2021" e que não explorava uma "nova vulnerabilidade".
O desenvolvimento ocorre quase dois meses depois que outro ator de ameaça ligado à China foi encontrado explorando uma vulnerabilidade agora corrigida no Fortinet FortiOS SSL-VPN como um zero-day em ataques direcionados a uma entidade governamental europeia e um provedor de serviços gerenciados (MSP) localizado na África.
"Nos últimos anos, os atacantes chineses implantaram vários exploits zero-day e malware para uma variedade de dispositivos de rede voltados para a internet como uma rota para invasão completa da empresa", disse a Mandiant.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...