Устройства SonicWall подвержены заражению вредоносным ПО, устойчивому к обновлениям встроенного ПО

09.03.2023

Предполагаемая китайская хакерская кампания была нацелена на непропатченные устройства SonicWall Secure Mobile Access (SMA) для установки пользовательских вредоносных программ, которые обеспечивают долгосрочную устойчивость для кампаний кибершпионажа.

Развернутая вредоносная программа нацелена на устройств SonicWall и используется для кражи учетных данных пользователей, предоставления злоумышленникам доступа к оболочке и даже сохранения при обновлении встроенного ПО.

Кампания была обнаружена командой Mandiant и PSIRT SonicWall, которые определяют исполнителя, как UNC4540, вероятно, китайского происхождения.

Новая вредоносная программа нацелена на устройства SonicWall

Вредоносная программа, используемая на устройствах SonicWall, состоит из двоичного файла ELF, бэкдора Tiny Shell и нескольких сценариев bash, которые демонстрируют глубокое понимание целевых сетевых устройств.

"Общее поведение набора вредоносных скриптов bash показывает детальное понимание устройства и хорошо адаптировано к системе для обеспечения стабильности и персистентности", - объясняет Мандиант.

Компоненты малвари (Mandiant)

Основной модуль, названный firewalld, выполняет SQL-команды в базе данных устройства, чтобы украсть хэшированные учетные данные всех вошедших в систему пользователей.

Украденные учетные данные копируются в текстовый файл, созданный злоумышленником по адресу 'tmp/syslog.db', и позже извлекаются для взлома в автономном режиме.

Кроме того, firewalld запускает другие вредоносные компоненты, такие как TinyShell, чтобы установить обратную оболочку на устройстве для легкого удаленного доступа.

Наконец, основной вредоносный модуль также добавляет небольшое исправление к легальному двоичному файлу SonicWall "firebased", но исследователи Mandiant не смогли определить его точное назначение.

Аналитики предполагают, что эта модификация способствует стабильности вредоносной программы при вводе команды shutdown на устройстве.

Хотя неясно, какая уязвимость была использована для компрометации устройств, Mandiant говорит, что целевые устройства не были исправлены, что делает их, вероятно, уязвимыми для более старых уязвимостей.

Недавние уязвимости, обнаруженные в устройствах SonicWall [1, 2, 3], которые повлияли на устройства SMA, позволили получить неаутентифицированный доступ к устройствам, которые затем могли быть использованы в кампаниях, подобных этой.

Устойчивость и жизнестойкость

Mandiant говорит, что есть признаки того, что вредоносная программа была установлена в проверенных системах еще в 2021 году и сохранялась в течение нескольких последующих обновлений встроенного ПО на устройстве.

Злоумышленники достигли этого с помощью сценариев, которые обеспечивают избыточность и долгосрочный доступ к взломанным устройствам.

Например, существует скрипт с именем "iptabled", который, по сути, является тем же модулем, что и firewalld, но вызывается сценарием запуска ("rc.local") только в том случае, если основной вредоносный процесс завершается, происходит сбой или его невозможно запустить.

Кроме того, злоумышленники внедрили процесс, при котором скрипт bash ("geoBotnetd") проверяет наличие новых обновлений прошивки по адресу "/cf/FIRMWARE/NEW/INITRD.GZ " каждые 10 секунд. Если таковой обнаружен, вредоносная программа внедряется в пакет обновления, чтобы сохраняться даже после обновления встроенного ПО.

Сценарий также добавляет пользователя-бэкдора с именем "acme" в файл обновления, чтобы они могли поддерживать доступ после того, как обновление встроенного ПО будет применено к взломанному устройству.

Системным администраторам рекомендуется установить последние обновления для системы безопасности, предоставляемые SonicWall для устройств SMA100.

Рекомендуемая целевая версия на данный момент - 10.2.1.7 или выше, которая включает мониторинг целостности файлов (FIM) и идентификацию аномальных процессов, которые должны обнаружить и остановить эту угрозу.

Эта кампания имеет много общего с недавними атаками, нацеленными на уязвимость нулевого дня в устройствах Fortinet SSL-VPN, используемых правительственными организациями и связанными с правительством целями.

Подобно кампании SonicWall, участники угроз, стоявшие за атаками Fortinet, продемонстрировали глубокие знания об устройствах и о том, как они действовали, внедряя пользовательские вредоносные программы для сохранения и кражи данных.

"В последние годы китайские злоумышленники внедрили множество эксплойтов нулевого дня и вредоносных программ для различных сетевых устройств, подключенных к Интернету, как способ полноценного вторжения на предприятие, и описанный здесь случай является частью недавней тенденции, которая, как ожидает Mandiant, сохранится в ближайшем будущем", - предупреждает Mandiant в отчете.

Источник: https://www.bleepingcomputer.com/ne...d-by-malware-that-survives-firmware-upgrades/

 

Ого. Серьёзно.