已經觀察到一項可疑的與中國有聯繫的黑客運動,以瞄準未插入的Sonicwall安全移動訪問(SMA)100個設備以丟棄惡意軟件並建立長期持久性。
網絡安全公司Mandiant在本週發佈的一份技術報告中說:“惡意軟件具有竊取用戶憑據,提供外殼訪問並堅持使用的功能。”
Google擁有的事件響應和威脅情報公司正在跟蹤其未分類的綽號UNC4540的活動。
該惡意軟件(bash腳本的集合和一個被識別爲Tinyshell後門的單一精靈二進制文件)設計爲授予攻擊者特權訪問SonicWall設備的訪問。
自定義工具集背後的總體目標似乎是憑證盜竊,惡意軟件允許對手進入所有登錄用戶的虹吸簽名憑證。 它進一步提供了對摺衷設備的外殼訪問。
Mandiant還召集了攻擊者對設備軟件的深入瞭解,以及他們開發量身定製的惡意軟件的能力,這些惡意軟件可以在固件更新中實現持久性並保持網絡上的立足點。
攻擊中使用的確切初始入侵向量尚不清楚,並且懷疑惡意軟件可能在某些情況下通過利用已知的安全缺陷而在某些情況下部署在設備上。
與披露相吻合,SonicWall發佈了更新(版本10.2.1.7),這些更新(版本10.2.1.7)隨附新的安全性增強功能,例如文件完整性監視(FIM)和異常過程識別。
Sonicwall在與Hacker News分享的聲明中說,該活動針對的是“來自2021 TimeFrame的未撥打的SMA 100系列電器”,並且沒有利用“新脆弱性”。
該發展發生在另一箇中國尼克斯威脅參與者被發現在Fortinet Fortios SSL-VPN中剝削現已發現的脆弱性將近兩個月 。
Mandiant說:“近年來,中國攻擊者已經部署了多個零日的利用和惡意軟件,以作爲各種互聯網面向網絡設備,以此作爲通往完全企業入侵的途徑。”
聲明:本文相關資訊來自thehackernews,版權歸作者所有,轉載目的在於傳遞更多信息。如有侵權,請聯繫本站處理。