Phần mềm độc hại tùy chỉnh của Trung Quốc được tìm thấy trên SonicWall
Công ty an ninh mạng Mandiant thuộc sở hữu của Google đã báo cáo vào thứ Tư rằng họ đã xác định được phần mềm độc hại tinh vi được cho là có nguồn gốc từ Trung Quốc trên thiết bị SonicWall.
Phần mềm độc hại, dường như được triển khai như một phần của chiến dịch Trung Quốc, đã được phân tích bởi Nhóm ứng phó sự cố và bảo mật sản phẩm (PSIRT) của Mandiant và SonicWall. Các nhà nghiên cứu phát hiện ra rằng kẻ tấn công đã tạo ra một loạt tập lệnh bash và một biến thể TinyShell ở dạng nhị phân ELF.
Phần mềm độc hại được tạo tùy chỉnh cho phép kẻ tấn công đánh cắp thông tin xác thực — đây dường như là mục đích chính của nó — và cung cấp quyền truy cập shell. Các tin tặc rõ ràng đã nhắm mục tiêu thông tin đăng nhập được băm cho tất cả người dùng đã đăng nhập.
Theo Mandiant, phần mềm độc hại “được điều chỉnh phù hợp với hệ thống để mang lại sự ổn định và bền bỉ”, có thể tồn tại ngay cả khi nâng cấp chương trình cơ sở.
Phần mềm độc hại đã được phát hiện trên một thiết bị SonicWall Secure Mobile Access (SMA) chưa được vá lỗi, nhưng không rõ bằng cách nào những kẻ tấn công có được quyền truy cập ban đầu. Mandiant gợi ý rằng tin tặc có thể đã khai thác một lỗ hổng đã biết mà khách hàng SonicWall được nhắm mục tiêu đã bỏ qua việc vá lỗi.
Không có gì lạ khi các tác nhân đe dọa nhắm mục tiêu vào các lỗ hổng đã biết và thậm chí là lỗ hổng zero-day trong các thiết bị SonicWall trong các cuộc tấn công của chúng.
Mandiant tin rằng phần mềm độc hại có thể đã được triển khai trên thiết bị vào năm 2021, nhưng kẻ tấn công đã quản lý để duy trì quyền truy cập bằng cách sửa đổi các bản cập nhật chương trình cơ sở theo cách đảm bảo sự tồn tại của phần mềm độc hại.
Công ty bảo mật biết về một tác nhân đe dọa Trung Quốc khác sử dụng các kỹ thuật tương tự, nhưng họ đã quyết định theo dõi các mối đe dọa một cách riêng biệt. Nhóm mới hiện đang được Mandiant theo dõi với tên UNC4540.
SonicWall đã thông báo trong tuần này rằng họ đã phát hành bản cập nhật cho các thiết bị sê-ri SMA 100 (10.2.1.7), bản cập nhật này “bao gồm một số tính năng bảo mật chính giúp bảo vệ hệ điều hành khỏi các cuộc tấn công tiềm tàng”.
Theo: https://www.securityweek.com/custom-chinese-malware-found-on-sonicwall-appliance/
Các tin khác
-
Tin tặc rò rỉ mật khẩu tài khoản VPN từ 87.000 thiết bị Fortinet FortiGate
-
Lỗ hổng nghiêm trọng tường lửa và các thiết bị VPN Palo Alto Networks Hacker có thể chiếm quyền dễ dàng để tấn công
-
_w250_h250.jpg)
Những kẻ tấn công hiện đang tích cực nhắm mục tiêu vào lỗi SonicWall RCE nghiêm trọng
-
Các phương pháp tấn công an toàn thông tin trên mạng Internet
-
Fortinet tìm thấy lỗ hổng khai thác Zero-Day trong các cuộc tấn công của chính phủ sau khi thiết bị phát hiện vi phạm tính toàn vẹn
-
Tường lửa 1 chiều Data dioes : Siêu bảo mật hay siêu đau ?
-
Chuyển đổi số và Chính phủ thông minh
-
Siemens, Rockwell, Fuji Electric cảnh báo về các lỗ hổng bảo mật mà tin tặc có thể khai thác trong công nghiệp
-
5 lỗ hổng nghiêm trọng ảnh hưởng tới các router, switch, điện thoại và camera IP của Cisco
-
CISA: Phần mềm độc hại Submarine mới được tìm thấy trên các thiết bị Barracuda ESG bị hack
