Hackers ligados à China estão direcionando seus ataques para dispositivos SonicWall SMA sem correções com malware
13 de Março de 2023

Uma campanha suspeita de hacking relacionada à China tem como alvo os dispositivos SonicWall Secure Mobile Access (SMA) 100 não atualizados para instalar malware e estabelecer persistência de longo prazo.

"O malware tem a funcionalidade de roubar credenciais de usuário, fornecer acesso shell e persistir por meio de atualizações de firmware", afirmou a empresa de segurança cibernética Mandiant em um relatório técnico publicado esta semana.

A empresa de inteligência de ameaças e resposta a incidentes de propriedade do Google está rastreando a atividade sob o nome UNC4540.

O malware - uma coleção de scripts bash e um único binário ELF identificado como uma porta dos fundos TinyShell - foi projetado para conceder ao atacante acesso privilegiado aos dispositivos SonicWall.

O objetivo geral por trás do conjunto de ferramentas personalizado parece ser o roubo de credenciais, com o malware permitindo que o adversário sifone as credenciais criptografadas de todos os usuários conectados.

Ele também fornece acesso shell ao dispositivo comprometido.

Mandiant também destacou a compreensão aprofundada do software do dispositivo pelo atacante, bem como sua capacidade de desenvolver malware personalizado que pode alcançar persistência em atualizações de firmware e manter uma presença na rede.

O vetor de intrusão inicial exato usado no ataque é desconhecido, e suspeita-se que o malware tenha sido implantado nos dispositivos, em alguns casos, já em 2021, aproveitando falhas de segurança conhecidas.

Coincidindo com a divulgação, a SonicWall lançou atualizações (versão 10.2.1.7) que vêm com novos aprimoramentos de segurança, como monitoramento de integridade de arquivos (FIM) e identificação de processos anômalos.

Em um comunicado compartilhado com o The Hacker News, a SonicWall informou que a campanha visava "um número extremamente limitado de dispositivos da série SMA 100 não atualizados a partir do período de 2021" e que não explorava uma "nova vulnerabilidade".

O desenvolvimento ocorre quase dois meses depois que outro ator de ameaça ligado à China foi encontrado explorando uma vulnerabilidade agora corrigida no Fortinet FortiOS SSL-VPN como um zero-day em ataques direcionados a uma entidade governamental europeia e um provedor de serviços gerenciados (MSP) localizado na África.

"Nos últimos anos, os atacantes chineses implantaram vários exploits zero-day e malware para uma variedade de dispositivos de rede voltados para a internet como uma rota para invasão completa da empresa", disse a Mandiant.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...