Une campagne de piratage suspecte liée à la Chine a été observée ciblant SonicWall non corrigé Appliances Secure Mobile Access (SMA) 100 pour supprimer les logiciels malveillants et établir une persistance à long terme.
« Le logiciel malveillant a des fonctionnalités pour voler les informations d’identification des utilisateurs, fournir un accès au shell et persister grâce aux mises à niveau du micrologiciel », a déclaré la société de cybersécurité Mandiant. a dit dans un rapport technique publié cette semaine.
La société de réponse aux incidents et de renseignement sur les menaces appartenant à Google suit l’activité sous son surnom non catégorisé UNC4540.
Le malware – une collection de scripts bash et un seul binaire ELF identifié comme une porte dérobée TinyShell – est conçu pour accorder à l’attaquant un accès privilégié aux appareils SonicWall.
L’objectif global derrière l’ensemble d’outils personnalisés semble être le vol d’informations d’identification, le logiciel malveillant permettant à l’adversaire de siphonner les informations d’identification hachées de manière cryptographique de tous les utilisateurs connectés. Il fournit en outre un accès shell au périphérique compromis.
Mandiant a également mis en avant la compréhension approfondie de l’attaquant du logiciel de l’appareil ainsi que sa capacité à développer des logiciels malveillants sur mesure capables d’assurer la persistance des mises à jour du micrologiciel et de maintenir un pied sur le réseau.
Le vecteur d’intrusion initial exact utilisé dans l’attaque est inconnu, et on soupçonne que le logiciel malveillant a probablement été déployé sur les appareils, dans certains cas dès 2021, en profitant de failles de sécurité connues.
Coïncidant avec la divulgation, SonicWall a mises à jour publiées (version 10.2.1.7) qui s’accompagnent de nouvelles améliorations de sécurité telles que la surveillance de l’intégrité des fichiers (FIM) et l’identification des processus anormaux.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.
Le développement intervient près de deux mois après qu’un autre acteur de la menace lié à la Chine a été découvert en train d’exploiter une vulnérabilité désormais corrigée dans Fortinet FortiOS SSL-VPN en tant qu’attaques zero-day ciblant une entité gouvernementale européenne et un fournisseur de services gérés (MSP) situés en Afrique. .
« Ces dernières années, les attaquants chinois ont déployé plusieurs exploits et logiciels malveillants de type « zero-day » pour une variété d’appliances réseau connectées à Internet comme voie d’intrusion complète dans l’entreprise », a déclaré Mandiant.