Sonicwall

疑わしい中国のハッキング キャンペーンは、パッチが適用されていない SonicWall Secure Mobile Access (SMA) アプライアンスを標的にして、サイバー スパイ キャンペーンの長期持続性を確立するカスタム マルウェアをインストールしています。

展開されたマルウェアは、SonicWall デバイス用にカスタマイズされており、ユーザーの資格情報を盗んだり、攻撃者にシェル アクセスを提供したり、ファームウェアのアップグレードを通じて存続したりするために使用されます。

このキャンペーンは、 Mandiantと SonicWall の PSIRT チームによって発見されました。チームは、背後にいる攻撃者を UNC4540 として追跡しており、中国出身である可能性があります。

SonicWall デバイスを標的とする新しいマルウェア

SonicWall デバイスで使用されるマルウェアは、ELF バイナリ、TinyShell バックドア、および標的のネットワーク デバイスを深く理解するいくつかの bash スクリプトで構成されています。

「一連の悪意のある bash スクリプトの全体的な動作は、アプライアンスの詳細な理解を示しており、安定性と持続性を提供するためにシステムに合わせて調整されています」と Mandiant は説明します。

マルウェアのコンポーネント
マルウェア コンポーネント(Mandiant)

「firewalld」という名前のメイン モジュールは、アプライアンスのデータベースに対して SQL コマンドを実行し、ログインしているすべてのユーザーのハッシュ化された資格情報を盗みます。

盗まれた資格情報は、攻撃者が「tmp/syslog.db」に作成したテキスト ファイルにコピーされ、後で取得されてオフラインでクラックされます。

さらに、firewalld は TinyShell などの他のマルウェア コンポーネントを起動して、アプライアンスにリバース シェルを確立し、リモート アクセスを容易にします。

最後に、メインのマルウェア モジュールも、正規の SonicWall バイナリ「firebased」に小さなパッチを追加しますが、Mandiant の研究者はその正確な目的を特定できませんでした。

アナリストは、デバイスでシャットダウン コマンドが入力されたとき、この変更がマルウェアの安定性に役立つという仮説を立てています。

デバイスを侵害するためにどの脆弱性が使用されたかは不明ですが、Mandiant は、標的のデバイスはパッチが適用されておらず、古い欠陥に対して脆弱である可能性が高いと述べています。

最近 SonicWall によって公開された SMA デバイスに影響を与えた欠陥 [ 1、2、3 ] により、デバイスへの認証されていないアクセス可能になり、このようなキャンペーンで使用される可能性がありました。

持続性と回復力

Mandiant は、マルウェアが調査対象のシステムに 2021 年にずっとさかのぼってインストールされ、アプライアンスのその後の複数のファームウェア アップデートを通じて存続したという兆候があると述べています。

攻撃者は、冗長性を提供し、侵害されたデバイスへの長期的なアクセスを保証するスクリプトを使用して、これを実現しました。

たとえば、基本的にfirewalldと同じモジュールである「iptabled」という名前のスクリプトがありますが、主要なマルウェア プロセスが終了、クラッシュ、または起動できない場合にのみ起動スクリプト (「rc.local」) によって呼び出されます。

さらに、攻撃者は、bash スクリプト (「geoBotnetd」) が「/cf/FIRMWARE/NEW/INITRD.GZ」で 10 秒ごとに新しいファームウェアの更新をチェックするプロセスを実装しました。見つかった場合、マルウェアはアップグレード パッケージに自分自身を挿入して、ファームウェアのアップグレード後も存続します。

また、このスクリプトはアップグレード ファイルに「acme」という名前のバックドア ユーザーを追加して、侵害されたアプライアンスにファームウェア アップデートが適用された後もアクセスを維持できるようにします。

システム管理者は、SonicWall が SMA100 装置に提供する最新のセキュリティ アップデートを適用することをお勧めします。

現時点で推奨されるターゲット バージョンは10.2.1.7以降です。これには、ファイル整合性監視 (FIM) と異常なプロセスの識別が含まれており、この脅威を検出して阻止する必要があります。

このキャンペーンは、政府機関および政府関連の標的が使用するフォーティネット SSL-VPN デバイスのゼロデイ脆弱性を標的とした最近の攻撃と多くの類似点を共有しています。

SonicWall キャンペーンと同様に、Fortinet 攻撃の背後にいる脅威アクターは、デバイスと、デバイスがどのように動作して持続性とデータ盗難のためにカスタム マルウェアを挿入するかについての詳細な知識を示しました。

「近年、中国の攻撃者は、企業全体への侵入経路として、インターネットに接続されたさまざまなネットワーク アプライアンスに対して複数のゼロデイ エクスプロイトとマルウェアを展開してきました。ここで報告された事例は、Mandiant が近い将来も続くと予想する最近のパターンの一部です。ターム」と報告書で Mandiant に警告している。