Ngày 10 tháng 3 năm 2023Ravie Lakshmanan An ninh mạng / Đe dọa mạng
Người ta đã quan sát thấy một chiến dịch tấn công đáng ngờ có liên kết với Trung Quốc nhắm mục tiêu vào 100 thiết bị SonicWall Secure Mobile Access (SMA) chưa được vá để loại bỏ phần mềm độc hại và thiết lập sự tồn tại lâu dài.
“Phần mềm độc hại có chức năng đánh cắp thông tin đăng nhập của người dùng, cung cấp quyền truy cập shell và tồn tại thông qua các bản nâng cấp chương trình cơ sở”, công ty an ninh mạng Mandiant cho biết trong một báo cáo kỹ thuật được công bố trong tuần này.
Công ty tình báo mối đe dọa và ứng phó sự cố thuộc sở hữu của Google đang theo dõi hoạt động dưới biệt danh chưa được phân loại của nó UNC4540.
Phần mềm độc hại này – một tập hợp các tập lệnh bash và một tệp nhị phân ELF duy nhất được xác định là cửa hậu TinyShell – được thiết kế để cấp cho kẻ tấn công quyền truy cập đặc quyền vào các thiết bị SonicWall.
Mục tiêu tổng thể đằng sau bộ công cụ tùy chỉnh dường như là đánh cắp thông tin xác thực, với phần mềm độc hại cho phép kẻ thù hút thông tin xác thực được băm bằng mật mã từ tất cả người dùng đã đăng nhập. Nó tiếp tục cung cấp quyền truy cập vỏ vào thiết bị bị xâm nhập.
Mandiant cũng chỉ ra sự hiểu biết sâu sắc của kẻ tấn công về phần mềm thiết bị cũng như khả năng phát triển phần mềm độc hại phù hợp có thể đạt được sự bền bỉ trong các bản cập nhật chương trình cơ sở và duy trì chỗ đứng trên mạng.
Vectơ xâm nhập ban đầu chính xác được sử dụng trong cuộc tấn công vẫn chưa được xác định và người ta nghi ngờ rằng phần mềm độc hại có khả năng đã được triển khai trên các thiết bị, trong một số trường hợp vào đầu năm 2021, bằng cách lợi dụng các lỗi bảo mật đã biết.
Trùng hợp với tiết lộ, SonicWall đã phát hành các bản cập nhật (phiên bản 10.2.1.7) đi kèm với các cải tiến bảo mật mới như Giám sát tính toàn vẹn của tệp (FIM) và nhận dạng quy trình bất thường.
Sự phát triển diễn ra gần hai tháng sau khi một tác nhân đe dọa mối quan hệ Trung Quốc khác bị phát hiện khai thác lỗ hổng hiện đã được vá trong Fortinet FortiOS SSL-VPN dưới dạng lỗ hổng zero-day trong các cuộc tấn công nhắm vào một thực thể chính phủ châu Âu và nhà cung cấp dịch vụ được quản lý (MSP) ở châu Phi .
Mandiant cho biết: “Trong những năm gần đây, những kẻ tấn công Trung Quốc đã triển khai nhiều khai thác zero-day và phần mềm độc hại cho nhiều thiết bị mạng truy cập internet như một lộ trình xâm nhập toàn bộ doanh nghiệp.
