هکرهای چین، دستگاههای SonicWall SMA را با بدافزار هدف قرار میدهند
اخبار داغ فناوری اطلاعات و امنیت شبکه
در یک کمپین هک مشکوک مرتبط با چین مشاهده شده است که دستگاههای SonicWall Secure Mobile Access (SMA) 100 پچنشده هدف حمله قرار میگیرند تا در پی آن، بدافزار را مستقر کنند و پایداری طولانیمدتی را خود ایجاد نمایند.
شرکت امنیت سایبری Mandiant در گزارشی فنی که بهتازگی منتشر شد، گفت : "این بدافزار دارای عملکردی برای سرقت اطلاعات کاربری، ارائه دسترسی به shell و تداوم از طریق ارتقا فریمور است."
شرکت اطلاعاتی پاسخ به حوادث و تهدیدات متعلق به گوگل در حال ردیابی فعالیت این کمپین بدافزار با نام نامشخص UNC4540 است.
این بدافزار که مجموعهای از اسکریپتهای bash و یک باینری ELF میباشد که بهعنوان TinyShell Backdoor شناخته میشود، طراحی شده است تا به مهاجم بالاترین سطح دسترسی بهدستگاههای SonicWall را بدهد.
به نظر میرسد هدف کلی پشت مجموعه ابزار سفارشی، سرقت اعتبارنامه، با بدافزاری که به دشمن اجازه میدهد اعتبارنامههای رمزنگاری شده هش شده را از همه کاربران وارد شده خارج کند، باشد. همچنین این اقدام، دسترسی shell بهدستگاه در معرض خطر را فراهم میکند.
مجموعه Mandiant همچنین به درک عمیق مهاجم از نرمافزار دستگاه و همچنین توانایی آنها برای توسعه بدافزار مناسب که میتواند در بروزرسانیهای فریمور پایدار باشد و جایگاه خود را در شبکه حفظ کند، اشاره کرد.
مسیر نفوذ اولیه دقیق مورد استفاده در این حمله ناشناخته است، و گمان میرود که بدافزار به احتمال زیاد در برخی موارد در سال ٢٠٢١ با بهرهگیری از نقصهای امنیتی شناخته شده بر روی دستگاهها مستقر شده باشد.
همزمان با افشای این اطلاعات، SonicWall بروزرسانیهایی (نسخه 10.2.1.7) را منتشر کرده است که با پیشرفتهای امنیتی جدید مانند نظارت بر یکپارچگی فایل یا File Integrity Monitoring (FIM) و شناسایی فرآیند غیرعادی همراه است.
در بیانیهای که با خبرگزاریها به اشتراک گذاشته شده است، SonicWall گفت که این کمپین "تعداد بسیار محدودی از دستگاههای پچنشده سری SMA 100 را از بازه زمانی ٢٠٢١ هدف قرار داده است" و از یک "آسیبپذیری جدید" سواستفاده نکرده است.
این توسعه تقریبا دو ماه پسازآن صورت میگیرد که یکی دیگر از عوامل تهدید China-nexus در حال سواستفاده از یک آسیبپذیری اصلاحشده در Fortinet FortiOS SSL-VPN بهعنوان یک آسیبپذیری روز صفر (Zero-Day) در حملاتی که یک نهاد دولتی اروپایی و یک ارائهدهنده خدمات مدیریت شده (MSP) واقع در آفریقا را هدف قرار میدهد، انجام میشود.
مجموعه Mandiant گفت : "در سالهای اخیر مهاجمان چینی چندین سواستفاده و بدافزار روز صفر را برای انواع لوازم شبکهای که به اینترنت متصل هستند، بهعنوان مسیری برای نفوذ کامل سازمانی بهکار گرفتهاند. "
برچسب ها: ELF Binary, Bash Script, SMA 100, File Integrity Monitoring, TinyShell, TinyShell Backdoor, UNC4540, SonicWall Secure Mobile Access, SonicWall SMA, چین, پچ, روز صفر, Sonicwall, Patch, China, malware, دفاع سایبری, تهدیدات سایبری, Cyber Security, backdoor, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news