Şüpheli bir Çin hack kampanyası, siber casusluk kampanyaları için uzun vadeli kalıcılık oluşturan özel kötü amaçlı yazılım yüklemek için açılmamış Sonicwall Güvenli Mobil Erişim (SMA) cihazlarını hedefliyor.
Dağıtılan kötü amaçlı yazılım, Sonicwall cihazları için özelleştirilmiştir ve kullanıcı kimlik bilgilerini çalmak, saldırganlara kabuk erişimi sağlamak ve hatta ürün yazılımı yükseltmeleri yoluyla devam etmek için kullanılır.
Kampanya, arkasındaki aktörü UNC4540 olarak izleyen Mantiant ve Sonicwall'un PSIRT ekibi tarafından keşfedildi.
Sonicwall cihazlarında kullanılan kötü amaçlı yazılım, bir ELF ikili, Tinyshell Backdoor ve hedeflenen ağ cihazlarını derinlemesine anlayan birkaç bash betiğinden oluşur.
Mantiant, "Kötü niyetli bash betiğinin genel davranışı, cihazın ayrıntılı bir şekilde anlaşılmasını gösterir ve istikrar ve kalıcılık sağlamak için sisteme iyi uyarlanmıştır."
'Firewalld' adlı ana modül, oturum açmış tüm kullanıcıların karma kimlik bilgilerini çalmak için cihazın veritabanına karşı SQL komutlarını yürütür.
Çalınan kimlik bilgileri, saldırgan tarafından 'tmp/syslog.db'de oluşturulan bir metin dosyasına kopyalanır ve daha sonra çevrimdışı kırılmak üzere alınır.
Ayrıca, Firewalld, kolay uzaktan erişim için cihazda ters bir kabuk oluşturmak için Tinyshell gibi diğer kötü amaçlı yazılım bileşenlerini başlatır.
Son olarak, ana kötü amaçlı yazılım modülü, meşru Sonicwall ikili 'Firebased' a küçük bir yama ekler, ancak Mantiant'ın araştırmacıları tam amacını belirleyemedi.
Analistler, bu modifikasyonun cihaza kapatma komutu girildiğinde kötü amaçlı yazılımların kararlılığına yardımcı olduğunu varsayar.
Cihazları tehlikeye atmak için hangi güvenlik açığının kullanıldığı belirsiz olsa da, Mandiant hedeflenen cihazların açılmadığını ve bu da onları daha eski kusurlara karşı savunmasız hale getirdiğini söylüyor.
SMA cihazlarını etkileyen Sonicwall [1, 2, 3] tarafından açıklanan son kusurlar, daha sonra bunun gibi kampanyalarda kullanılabilecek cihazlara kimlik doğrulanmamış erişime izin verdi.
Mantiant, kötü amaçlı yazılımların incelenen sistemlere 2021'de yüklendiğine dair işaretler olduğunu ve cihazda daha sonraki birden fazla ürün yazılımı güncellemesi ile devam ettiğine dair işaretler olduğunu söylüyor.
Tehdit aktörleri, fazlalık sunan ve ihlal edilen cihazlara uzun vadeli erişim sağlayan komut dosyaları kullanarak bunu başardılar.
Örneğin, aslında Firewalld ile aynı modül olan "Iptabl" adlı bir komut dosyası vardır, ancak birincil kötü amaçlı yazılım işlemi çıkar, çökerse veya başlatılamazsa yalnızca başlangıç komut dosyası ("rc.local") tarafından çağrılır.
Ayrıca, saldırganlar bir Bash komut dosyası ("geobotnetd") "/cf/firmware/new/initrd.gz" adresinden yeni ürün yazılımı güncellemelerini kontrol ettiği bir işlem uyguladılar. Biri bulunursa, kötü amaçlı yazılım, ürün yazılımı yükseltmelerinden sonra bile hayatta kalmak için yükseltme paketine enjekte eder.
Komut dosyası ayrıca yükseltme dosyasına "Acme" adlı bir arka kapı kullanıcısı ekler, böylece ürün yazılımı güncellemesi ihlal edilen cihaza uygulandıktan sonra erişimi koruyabilirler.
Sistem yöneticilerine SMA100 cihazları için Sonicwall tarafından sağlanan en son güvenlik güncellemelerini uygulamaları tavsiye edilir.
Şu anda önerilen hedef sürüm, bu tehdidi algılaması ve durdurması gereken dosya bütünlüğü izleme (FIM) ve anormal süreç tanımlamasını içeren 10.2.1.7 veya daha yüksektir.
Bu kampanya, devlet kuruluşları ve devletle ilgili hedefler tarafından kullanılan Fortinet SSL-VPN cihazlarında sıfır gün kırılganlığı hedefleyen son saldırılarla birçok benzerlik paylaşıyor.
Sonicwall kampanyasına benzer şekilde, Fortinet saldırılarının arkasındaki tehdit aktörleri, cihazlar ve kalıcılık ve veri hırsızlığı için özel kötü amaçlı yazılım enjekte etmek için nasıl çalıştıkları hakkında samimi bilgi gösterdi.
"Son yıllarda Çinli saldırganlar, tam kurumsal saldırıya giden bir yol olarak çeşitli İnternet'e bakan ağ cihazları için birden fazla sıfır günlük istismar ve kötü amaçlı yazılım kullandılar ve burada bildirilen örnek, Mantiant'ın yakınlaşmaya devam etmeyi bekleyen son bir modelin bir parçasıdır. Terim, "Raporda Mantiant uyarıyor.
Iron Tiger Hackers, özel kötü amaçlı yazılımlarının Linux sürümünü oluşturdu
Cliniopa Hackers, hedefli saldırılarda yeni Atharvan kötü amaçlı yazılım kullanıyor
Ukrayna'da yeni Graphiron Information Stealer kullanan Rus hackerlar
Yeni Boldmove Linux Kötü Yazılım Fortinet Cihazları Backsoor için Kullanılır
Güvenlik Araştırmacıları, LinkedIn'de iş teklifleri aracılığıyla yeni kötü amaçlı yazılımlarla hedef aldı
Kaynak: Bleeping Computer