El malware que infecta el dispositivo de seguridad ampliamente utilizado sobrevive a las actualizaciones de firmware
El malware que infecta el dispositivo de seguridad ampliamente utilizado sobrevive a las actualizaciones de firmware
Expandir
imágenes falsas
Los actores de amenazas con vínculos con el gobierno chino infectan un dispositivo de seguridad SonicWall ampliamente utilizado con malware que permanece activo incluso después de que el dispositivo recibe actualizaciones de firmware, dijeron los investigadores.
Secure Mobile Access 100 de SonicWall es un dispositivo de acceso remoto seguro que ayuda a las organizaciones a implementar equipos remotos de manera segura. Los clientes lo utilizan para otorgar controles de acceso granular a usuarios remotos, proporcionar conexiones VPN a las redes organizacionales y definir perfiles únicos para cada empleado. El acceso del SMA 100 a las redes de los clientes lo convierte en un objetivo atractivo para los actores de amenazas.
En 2021, el dispositivo fue atacado por piratas informáticos sofisticados que aprovecharon lo que entonces era una vulnerabilidad de día cero. Los dispositivos de seguridad de Fortinet y Pulse Secure han sufrido ataques similares en los últimos años.
Obtenga persistencia a largo plazo dentro de las redes
El jueves, la firma de seguridad Mandiant publicó un informe que indica que los actores de amenazas con una supuesta conexión con China participaron en una campaña para mantener la persistencia a largo plazo mediante la ejecución de malware en los dispositivos SonicWall SMA sin corregir. La campaña se destacó por la capacidad del malware de permanecer en los dispositivos incluso después de que su firmware recibiera un nuevo firmware.
“Los atacantes han hecho todo lo posible para garantizar la estabilidad y la persistencia de sus herramientas”, escribieron los investigadores de Mandiant Daniel Lee, Stephen Eckels y Ben Read. "Esto permite que su acceso a la red persista a través de actualizaciones de firmware y mantenga un punto de apoyo en la red a través del dispositivo SonicWall".
Para lograr esta persistencia, el malware verifica cada 10 segundos las actualizaciones de firmware disponibles. Cuando hay una actualización disponible, el malware copia el archivo archivado para hacer una copia de seguridad, lo desempaqueta, lo monta y luego copia todo el paquete de archivos maliciosos en él. El malware también agrega un usuario raíz de puerta trasera al archivo montado. Luego, el malware vuelve a escribir el archivo para que esté listo para la instalación.
"La técnica no es particularmente sofisticada, pero muestra un esfuerzo considerable por parte del atacante para comprender el ciclo de actualización del dispositivo, luego desarrollar y probar un método de persistencia", escribieron los investigadores.
Las técnicas de persistencia son consistentes con una campaña de ataque en 2021 que usó 16 familias de malware para infectar dispositivos Pulse Secure. Mandiant atribuyó los ataques a múltiples grupos de amenazas, incluidos los rastreados como UNC2630, UNC2717, que según la compañía respaldan "prioridades clave del gobierno chino". Mandiant atribuyó los ataques en curso contra los clientes SonicWall SMA 100 a un grupo identificado como UNC4540.
"Durante los últimos años, los atacantes chinos han implementado varios exploits de día cero y malware en una variedad de dispositivos de red conectados a Internet como una vía para la intrusión total de la empresa, y la instancia reportada aquí es parte de un patrón reciente que Mandiant espera que continúe a corto plazo”, escribieron los investigadores de Mandiant en el informe del jueves.
Acceso altamente privilegiado
El objetivo principal del software malicioso parece ser robar contraseñas codificadas con hash de todos los usuarios que hayan iniciado sesión. También proporciona un shell web que el actor de amenazas puede usar para instalar nuevo malware.
"El análisis de un dispositivo comprometido reveló una colección de archivos que otorgan al atacante un acceso altamente privilegiado y de fácil acceso al dispositivo", escribieron los investigadores en el informe del jueves. “El malware consiste en una serie de scripts bash y un solo binario ELF identificado como una variante de TinyShell. El comportamiento general del conjunto de scripts bash maliciosos muestra una comprensión detallada del dispositivo y se adapta bien al sistema para garantizar la estabilidad y la persistencia".
Los actores de amenazas con vínculos con el gobierno chino infectan un dispositivo de seguridad SonicWall ampliamente utilizado con malware que permanece activo incluso después de que el dispositivo recibe actualizaciones de firmware, dijeron los investigadores.
Secure Mobile Access 100 de SonicWall es un dispositivo de acceso remoto seguro que ayuda a las organizaciones a implementar equipos remotos de manera segura. Los clientes lo utilizan para otorgar controles de acceso granular a usuarios remotos, proporcionar conexiones VPN a las redes organizacionales y definir perfiles únicos para cada empleado. El acceso del SMA 100 a las redes de los clientes lo convierte en un objetivo atractivo para los actores de amenazas.
En 2021, el dispositivo fue atacado por piratas informáticos sofisticados que aprovecharon lo que entonces era una vulnerabilidad de día cero. Los dispositivos de seguridad de Fortinet y Pulse Secure han sufrido ataques similares en los últimos años.
Obtenga persistencia a largo plazo dentro de las redes
El jueves, la firma de seguridad Mandiant publicó un informe que indica que los actores de amenazas con una supuesta conexión con China participaron en una campaña para mantener la persistencia a largo plazo mediante la ejecución de malware en los dispositivos SonicWall SMA sin corregir. La campaña se destacó por la capacidad del malware de permanecer en los dispositivos incluso después de que su firmware recibiera un nuevo firmware.
“Los atacantes han hecho todo lo posible para garantizar la estabilidad y la persistencia de sus herramientas”, escribieron los investigadores de Mandiant Daniel Lee, Stephen Eckels y Ben Read. "Esto permite que su acceso a la red persista a través de actualizaciones de firmware y mantenga un punto de apoyo en la red a través del dispositivo SonicWall".
Para lograr esta persistencia, el malware verifica cada 10 segundos las actualizaciones de firmware disponibles. Cuando hay una actualización disponible, el malware copia el archivo archivado para hacer una copia de seguridad, lo desempaqueta, lo monta y luego copia todo el paquete de archivos maliciosos en él. El malware también agrega un usuario raíz de puerta trasera al archivo montado. Luego, el malware vuelve a escribir el archivo para que esté listo para la instalación.
"La técnica no es particularmente sofisticada, pero muestra un esfuerzo considerable por parte del atacante para comprender el ciclo de actualización del dispositivo, luego desarrollar y probar un método de persistencia", escribieron los investigadores.
Las técnicas de persistencia son consistentes con una campaña de ataque en 2021 que usó 16 familias de malware para infectar dispositivos Pulse Secure. Mandiant atribuyó los ataques a múltiples grupos de amenazas, incluidos los rastreados como UNC2630, UNC2717, que según la compañía respaldan "prioridades clave del gobierno chino". Mandiant atribuyó los ataques en curso contra los clientes SonicWall SMA 100 a un grupo identificado como UNC4540.
"Durante los últimos años, los atacantes chinos han implementado varios exploits de día cero y malware en una variedad de dispositivos de red conectados a Internet como una vía para la intrusión total de la empresa, y la instancia reportada aquí es parte de un patrón reciente que Mandiant espera que continúe a corto plazo”, escribieron los investigadores de Mandiant en el informe del jueves.
Acceso altamente privilegiado
El objetivo principal del software malicioso parece ser robar contraseñas codificadas con hash de todos los usuarios que hayan iniciado sesión. También proporciona un shell web que el actor de amenazas puede usar para instalar nuevo malware.
"El análisis de un dispositivo comprometido reveló una colección de archivos que otorgan al atacante un acceso altamente privilegiado y de fácil acceso al dispositivo", escribieron los investigadores en el informe del jueves. “El malware consiste en una serie de scripts bash y un solo binario ELF identificado como una variante de TinyShell. El comportamiento general del conjunto de scripts bash maliciosos muestra una comprensión detallada del dispositivo y se adapta bien al sistema para garantizar la estabilidad y la persistencia".
Expandir
imágenes falsas
