🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Este malware infecta dispositivos de seguridad ampliamente utilizados y sobrevive a las actualizaciones de firmware

Hackers relacionados con el gobierno chino están infectando dispositivos de seguridad ampliamente utilizados de SonicWall con malware. Pero eso no es lo más llamativo; lo novedoso es que el malware permanece activo incluso después de que el dispositivo recibe actualizaciones de firmware.

El Secure Mobile Access (SMA) 100 de SonicWall es un dispositivo de acceso remoto seguro que ayuda a las organizaciones a implementar fuerzas de trabajo remotas de manera segura. Los clientes lo utilizan para otorgar controles de acceso granular a usuarios remotos, proporcionar conexiones VPN a las redes de la organización y establecer perfiles únicos para cada empleado. El acceso que tiene el SMA 100 a las redes de los clientes lo convierte en un objetivo atractivo para los atacantes.

En 2021, el dispositivo fue atacado por hackers sofisticados que explotaron lo que entonces era una vulnerabilidad de día cero. Los dispositivos de seguridad de Fortinet y Pulse Secure han sufrido ataques similares en los últimos años.

Ganar persistencia a largo plazo dentro de las redes

Ayer, la firma de seguridad Mandiant publicó un informe que afirma que los atacantes con un nexo sospechoso con China están involucrados en una campaña para mantener la persistencia a largo plazo mediante la ejecución de malware en dispositivos SonicWall SMA sin parches. La campaña se destacó por la capacidad del malware de permanecer en los dispositivos incluso después de que su firmware recibiera una actualización.

“Los atacantes pusieron un esfuerzo significativo en la estabilidad y persistencia de sus herramientas. Esto permite que su acceso a la red persista a través de actualizaciones de firmware y mantenga un punto de apoyo en la red a través del dispositivo SonicWall”.

Investigadores de Mandiant 

Para lograr esta persistencia, el malware busca actualizaciones de firmware disponibles cada 10 segundos. Cuando una actualización está disponible, el malware copia el archivo archivado para hacer una copia de seguridad, lo descomprime, lo monta y luego copia todo el paquete de archivos maliciosos en él. El malware también agrega un usuario root como puerta trasera al archivo montado. Luego, el malware vuelve a comprimir el archivo para que esté listo para la instalación.

“La técnica no es especialmente sofisticada, pero muestra un esfuerzo considerable por parte del atacante para comprender el ciclo de actualización del dispositivo, luego desarrollar y probar un método de persistencia”.

Hackers relacionados con China

Las técnicas de persistencia son consistentes con una campaña de ataque en 2021 que usó 16 familias de malware para infectar dispositivos Pulse Secure. Mandiant atribuyó los ataques a múltiples grupos de atacantes, incluidos los identificados como UNC2630, UNC2717, que según la compañía respaldan “prioridades claves del gobierno chino“. Mandiant atribuyó los ataques en curso contra los clientes de SonicWall SMA 100 a un grupo identificado como UNC4540.

En los últimos años, los atacantes chinos han implementado múltiples exploits de día cero y malware para una variedad de dispositivos de red orientados a Internet. Esto como una ruta hacia la intrusión empresarial completa; y la instancia reportada aquí es parte de un patrón reciente que Mandiant espera que continúe en el futuro. a corto plazo.

Acceso altamente privilegiado

El objetivo principal del malware parece ser el robo de contraseñas criptográficamente codificadas para todos los usuarios que han iniciado sesión. También proporciona una shell web que los atacantes pueden usar para instalar nuevo malware.

El análisis de un dispositivo comprometido reveló una colección de archivos que le dan al atacante un acceso altamente privilegiado al dispositivo. El malware consiste en una serie de scripts bash y un solo binario ELF identificado como una variante de TinyShell. El comportamiento general del conjunto de scripts bash maliciosos muestra una comprensión detallada del dispositivo y está bien adaptado al sistema para brindar estabilidad y persistencia.

La lista de malware utilizado en los ataques es el siguiente:

RutaHashFunción
/bin/firewallde4117b17e3d14fe64f45750be71dbaa6Proceso principal de malware
/bin/httpsd2d57bcb8351cf2b57c4fd2d1bb8f862ePuerta trasera TinyShell
/etc/rc.d/rc.local559b9ae2a578e1258e80c45a5794c071Persistencia de arranque para firewalld
/bin/iptabled8dbf1effa7bc94fc0b9b4ce83dfce2e6Proceso principal de malware redundante
/bin/geoBotnetd619769d3d40a3c28ec83832ca521f521Script de puerta trasera de firmware
/bin/ifconfig6fa1bf2e427b2defffd573854c35d4919Script de apagado elegante

Según los investigadores, el principal punto de entrada del malware es una secuencia de comandos bash denominada firewalld. El script es responsable de ejecutar un comando SQL para lograr el robo de credenciales y la ejecución de los demás componentes. Ahora bien, los investigadores no saben cuál es el vector de infección inicial.

La semana pasada, SonicWall publicó un aviso que instaba a los usuarios de SMA 100 a actualizarse a la versión 10.2.1.7 o superior. Esas versiones incluyen mejoras como el monitoreo de integridad de archivos y la identificación de procesos anómalos. El parche está disponible aquí. Los usuarios también deben revisar periódicamente los registros en busca de signos de compromiso, incluidos inicios de sesión anormales o tráfico interno.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información