هکر‌های چین، دستگاه‌های SonicWall SMA را با بدافزار هدف قرار می‌دهند

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir sonicwall sma custom malware
در یک کمپین هک مشکوک مرتبط با چین مشاهده شده است که دستگاه‌های SonicWall Secure Mobile Access (SMA) 100 پچ‌نشده هدف حمله قرار می‌گیرند تا در پی آن، بدافزار را مستقر کنند و پایداری طولانی‌مدتی را خود ایجاد نمایند.

شرکت امنیت سایبری Mandiant در گزارشی فنی که به‌تازگی منتشر شد، گفت : "این بدافزار دارای عملکردی برای سرقت اطلاعات کاربری، ارائه دسترسی به shell و تداوم از طریق ارتقا فریمور است."

شرکت اطلاعاتی پاسخ به حوادث و تهدیدات متعلق به گوگل در حال رد‌یابی فعالیت این کمپین بدافزار با نام نامشخص UNC4540 است.

این بدافزار که مجموعه‌ای از اسکریپت‌های bash و یک باینری ELF می‌باشد که به‌عنوان TinyShell Backdoor شناخته می‌شود، طراحی شده است تا به مهاجم بالا‌ترین سطح دسترسی به‌دستگاه‌های SonicWall را بدهد.

به نظر می‌رسد هدف کلی پشت مجموعه ابزار سفارشی، سرقت اعتبارنامه، با بد‌افزاری که به دشمن اجازه می‌دهد اعتبارنامه‌های رمز‌نگاری شده هش شده را از همه کاربران وارد شده خارج کند، باشد. همچنین این اقدام، دسترسی shell به‌دستگاه در معرض خطر را فراهم می‌کند.

مجموعه Mandiant همچنین به درک عمیق مهاجم از نرم‌افزار دستگاه و همچنین توانایی آنها برای توسعه بدافزار مناسب که می‌تواند در بروزرسانی‌های فریمور پایدار باشد و جایگاه خود را در شبکه حفظ کند، اشاره کرد.

مسیر نفوذ اولیه دقیق مورد استفاده در این حمله ناشناخته است، و گمان می‌رود که بدافزار به احتمال زیاد در برخی موارد در سال ٢٠٢١ با بهره‌گیری از نقص‌های امنیتی شناخته شده بر روی دستگاه‌ها مستقر شده باشد.

همزمان با افشای این اطلاعات، SonicWall بروزرسانی‌هایی (نسخه 10.2.1.7) را منتشر کرده است که با پیشرفت‌های امنیتی جدید مانند نظارت بر یکپارچگی فایل یا File Integrity Monitoring (FIM) و شناسایی فرآیند غیرعادی همراه است.

در بیانیه‌ای که با خبرگزاری‌ها به اشتراک گذاشته شده است، SonicWall گفت که این کمپین "تعداد بسیار محدودی از دستگاه‌های پچ‌نشده سری SMA 100 را از بازه زمانی ٢٠٢١ هدف قرار داده است" و از یک "آسیب‌پذیری جدید" سواستفاده نکرده است.

این توسعه تقریبا دو ماه پس‌از‌آن صورت می‌گیرد که یکی دیگر از عوامل تهدید China-nexus در حال سواستفاده از یک آسیب‌پذیری اصلاح‌شده در Fortinet FortiOS SSL-VPN به‌عنوان یک آسیب‌پذیری روز صفر (Zero-Day) در حملاتی که یک نهاد دولتی اروپایی و یک ارائه‌دهنده خدمات مدیریت شده (MSP) واقع در آفریقا را هدف قرار می‌دهد، انجام می‌شود.

مجموعه Mandiant گفت : "در سال‌های اخیر مهاجمان چینی چندین سواستفاده و بدافزار روز صفر را برای انواع لوازم شبکه‌ای که به اینترنت متصل هستند، به‌عنوان مسیری برای نفوذ کامل سازمانی به‌کار گرفته‌اند. "

برچسب ها: ELF Binary, Bash Script, SMA 100, File Integrity Monitoring, TinyShell, TinyShell Backdoor, UNC4540, SonicWall Secure Mobile Access, SonicWall SMA, چین, پچ, روز صفر, Sonicwall, Patch, China, malware, دفاع سایبری, تهدیدات سایبری, Cyber Security, backdoor, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ