SonicWall-Geräte werden von sehr hartnäckiger Malware angegriffen (öffnet in neuem Tab) das in der Lage ist, mehrere Firmware-Updates zu überstehen, haben Experten behauptet.
Cybersicherheitsforscher von Mandiant und SonicWall entdeckten kürzlich eine speziell entwickelte Malware, die speziell für SonicWall Secure Mobile Access (SMA)-Appliances entwickelt wurde und höchstwahrscheinlich von einem chinesischen Bedrohungsakteur namens UNC4540 entwickelt wurde.
Seine Funktionen zeigen ein „tiefes Verständnis“ der Geräte, für die es entwickelt wurde, und die Malware ist für Spionage konzipiert, behaupten die Forscher, da sie in der Lage ist, Benutzerpasswörter zu stehlen und Shell-Zugriff zu gewähren.
Fernzugriff einrichten
„Das Gesamtverhalten der Suite bösartiger Bash-Skripte zeigt ein detailliertes Verständnis der Appliance und ist gut auf das System zugeschnitten, um Stabilität und Beständigkeit zu gewährleisten“, sagte Mandiant.
Das Hauptmodul kann gehashte Anmeldeinformationen aller Benutzer stehlen, die an den kompromittierten Endpunkten angemeldet sind, sie in eine Textdatei kopieren und sie zur Entschlüsselung an einen anderen Ort versenden. Ein weiteres Modul richtet eine umgekehrte Shell für einfachen Fernzugriff ein. Außerdem fanden die Forscher ein Modul, das einen kleinen Patch zu einer legitimen SonicWall-Binärdatei hinzufügt, deren Zweck sie noch nicht bestimmen konnten.
Die Forscher konnten auch nicht feststellen, welche Schwachstelle die Angreifer nutzten, um diese Geräte mit Malware zu kompromittieren, aber sie vermuten, dass die Malware vor Jahren eingesetzt wurde und mehrere Firmware-Updates erfolgreich überstanden hat. Sie glauben, dass der ursprüngliche Kompromiss bereits 2021 hätte geschlossen werden können.
Um Ihre Geräte vor unbekannten Bedrohungen wie dieser zu schützen, sollten Sie am besten die neuesten Sicherheitsupdates anwenden. Die neueste Version von SonicWall für gezielte Appliances ist 10.2.1.7, heißt es in der Veröffentlichung und fügt hinzu, dass der Patch File Integrity Monitoring (FIM) und die Identifizierung anomaler Prozesse enthält, zwei Funktionen, „die diese Bedrohung erkennen und stoppen sollten“.
„In den letzten Jahren haben chinesische Angreifer mehrere Zero-Day-Exploits und Malware für eine Vielzahl von mit dem Internet verbundenen Netzwerkgeräten als Weg zum vollständigen Eindringen in Unternehmen eingesetzt, und die hier gemeldete Instanz ist Teil eines jüngsten Musters, von dem Mandiant erwartet, dass es sich in naher Zukunft fortsetzen wird Amtszeit”, schloss Mandiant.
Über: Piepender Computer (öffnet in neuem Tab)