已经观察到一项可疑的与中国有联系的黑客运动,以瞄准未插入的Sonicwall安全移动访问(SMA)100个设备以丢弃恶意软件并建立长期持久性。
网络安全公司Mandiant在本周发布的一份技术报告中说:“恶意软件具有窃取用户凭据,提供外壳访问并坚持使用的功能。”
Google拥有的事件响应和威胁情报公司正在跟踪其未分类的绰号UNC4540的活动。
该恶意软件(bash脚本的集合和一个被识别为Tinyshell后门的单一精灵二进制文件)设计为授予攻击者特权访问SonicWall设备的访问。
自定义工具集背后的总体目标似乎是凭证盗窃,恶意软件允许对手进入所有登录用户的虹吸签名凭证。 它进一步提供了对折衷设备的外壳访问。
Mandiant还召集了攻击者对设备软件的深入了解,以及他们开发量身定制的恶意软件的能力,这些恶意软件可以在固件更新中实现持久性并保持网络上的立足点。
攻击中使用的确切初始入侵向量尚不清楚,并且怀疑恶意软件可能在某些情况下通过利用已知的安全缺陷而在某些情况下部署在设备上。
与披露相吻合,SonicWall发布了更新(版本10.2.1.7),这些更新(版本10.2.1.7)随附新的安全性增强功能,例如文件完整性监视(FIM)和异常过程识别。
Sonicwall在与Hacker News分享的声明中说,该活动针对的是“来自2021 TimeFrame的未拨打的SMA 100系列电器”,并且没有利用“新脆弱性”。
该发展发生在另一个中国尼克斯威胁参与者被发现在Fortinet Fortios SSL-VPN中剥削现已发现的脆弱性将近两个月 。
Mandiant说:“近年来,中国攻击者已经部署了多个零日的利用和恶意软件,以作为各种互联网面向网络设备,以此作为通往完全企业入侵的途径。”
声明:本文相关资讯来自thehackernews,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站处理。