Los dispositivos SonicWall están siendo atacados por un malware muy persistente (se abre en una pestaña nueva) que es capaz de sobrevivir a través de múltiples actualizaciones de firmware, afirman los expertos.
Los investigadores de seguridad cibernética de Mandiant y SonicWall descubrieron recientemente un malware personalizado, diseñado específicamente para los dispositivos SonicWall Secure Mobile Access (SMA), muy probablemente diseñado por un actor de amenazas chino denominado UNC4540.
Sus características muestran una «comprensión profunda» de los dispositivos para los que fue creado, y el malware está diseñado para el espionaje, afirman los investigadores, ya que es capaz de robar las contraseñas de los usuarios, además de proporcionar acceso shell.
Establecimiento de acceso remoto
“El comportamiento general del conjunto de scripts bash maliciosos muestra una comprensión detallada del dispositivo y está bien adaptado al sistema para brindar estabilidad y persistencia”, dijo Mandiant.
El módulo principal puede robar las credenciales codificadas de todos los usuarios que hayan iniciado sesión en los puntos finales comprometidos, copiarlas en un archivo de texto y enviarlas para que se descifren en otro lugar. Otro módulo establece una carcasa inversa para facilitar el acceso remoto. Además, los investigadores encontraron un módulo que agrega un pequeño parche a un binario legítimo de SonicWall cuyo propósito aún no pudieron determinar.
Los investigadores tampoco pudieron determinar qué vulnerabilidad usaron los atacantes para comprometer estos dispositivos con malware, pero sospechan que el malware se implementó hace años y sobrevivió con éxito a través de múltiples actualizaciones de firmware. Creen que el compromiso inicial podría haberse hecho en 2021.
Para proteger sus dispositivos contra amenazas desconocidas como esta, el mejor curso de acción es aplicar las últimas actualizaciones de seguridad. La última versión de SonicWall para dispositivos específicos es 10.2.1.7, dice la publicación, y agrega que el parche incluye monitoreo de integridad de archivos (FIM) e identificación de procesos anómalos, dos características «que deberían detectar y detener esta amenaza».
«En los últimos años, los atacantes chinos han implementado múltiples exploits de día cero y malware para una variedad de dispositivos de red orientados a Internet como una ruta hacia la intrusión empresarial completa, y la instancia reportada aquí es parte de un patrón reciente que Mandiant espera que continúe en el corto plazo. plazo», concluyó Mandiant.
Vía: BleepingComputer (se abre en una pestaña nueva)