تحلیلگران میگویند: «در سالهای اخیر، مهاجمان چینی برای دستیابی به قابلیتهای نفوذ کامل سازمانی، چندین اکسپلویت و بدافزارهای روز صفر و بدافزار را برای انواع لوازم شبکهای که در اینترنت قرار دارند، به کار گرفتهاند». نمونه جدید UNC4540 اپیزود دیگری از این لیست طولانی از حملات پیچیده است و Mandiant انتظار دارد این روند “در آینده نزدیک” ادامه یابد.
این بدافزار همچنین یک کاربر ریشه پشتی به بسته اضافه می کند، قبل از اینکه فایل ها را مجددا فشرده کند تا آن را در جای خود قرار داده و آماده نصب شود. هنگامی که به روز رسانی انجام شد، بدافزار در محیط سفت افزار جدید نیز به کار خود ادامه می دهد.
پس از تجزیه و تحلیل بسته مخرب، محققان Mandiant مجموعهای از اسکریپتهای Bash را پیدا کردند (Bash یک پوسته یونیکس است که معمولاً به عنوان رابط ورود به سیستم پیشفرض برای سیستمهای عامل لینوکس استفاده میشود) و یک فایل باینری ELF (Linux) که به عنوان یک نوع TinyShell شناسایی شده است.
این حمله دستگاه Secure Mobile Access (SMA) 100 را هدف قرار می دهد، یک ابزار دسترسی از راه دور ایمن که توسط شرکت ها و سازمان ها برای استقرار و مدیریت کارگران از راه دور استفاده می شود. SMA 100 می تواند کنترل دسترسی به کاربران راه دور، اتصالات VPN و پروفایل های منحصر به فرد را برای هر کاربر فراهم کند. در سال 2021، این دستگاه مورد هدف هکرهایی قرار گرفت که از نقص روز صفر سوء استفاده کردند.
محققان امنیتی در Mandiant کمپین مخرب جدیدی را علیه لوازم شبکه فروخته شده توسط SonicWall کشف کرده اند. به گفته تحلیلگران، بازیگران ناشناخته پشت این کمپین احتمالا چینی هستند و به نفع دیکتاتوری کمونیستی کار می کنند، و این گروه در حال حاضر با نام UNC4540 دنبال می شود.
Mandiant گفت این تکنیک بسیار پیچیده نیست، اما نشان دهنده تلاش قابل توجهی است که توسط مجرمان سایبری ناشناخته برای مطالعه و درک چرخه به روز رسانی دستگاه انجام شده است.
محققان هنوز ناقل اولیه عفونت را شناسایی نکردهاند، اما SonicWall (که با Mandiant برای کشف این تهدید همکاری کرد) یک بهروزرسانی سیستمافزار جدید (10.2.1.7) را برای SMA 100 منتشر کرده است. این شرکت همچنین به مشتریان و مدیران توصیه میکند که مرتباً آن را بررسی کنند. لاگ دستگاه برای شناسایی هر نشانه ای از عفونت مداوم.