هکرهای چینی دستگاه های SonicWall را با بدافزارهای دائمی هدف قرار می دهند

تحلیلگران می‌گویند: «در سال‌های اخیر، مهاجمان چینی برای دستیابی به قابلیت‌های نفوذ کامل سازمانی، چندین اکسپلویت و بدافزارهای روز صفر و بدافزار را برای انواع لوازم شبکه‌ای که در اینترنت قرار دارند، به کار گرفته‌اند». نمونه جدید UNC4540 اپیزود دیگری از این لیست طولانی از حملات پیچیده است و Mandiant انتظار دارد این روند “در آینده نزدیک” ادامه یابد.

این بدافزار همچنین یک کاربر ریشه پشتی به بسته اضافه می کند، قبل از اینکه فایل ها را مجددا فشرده کند تا آن را در جای خود قرار داده و آماده نصب شود. هنگامی که به روز رسانی انجام شد، بدافزار در محیط سفت افزار جدید نیز به کار خود ادامه می دهد.

پس از تجزیه و تحلیل بسته مخرب، محققان Mandiant مجموعه‌ای از اسکریپت‌های Bash را پیدا کردند (Bash یک پوسته یونیکس است که معمولاً به عنوان رابط ورود به سیستم پیش‌فرض برای سیستم‌های عامل لینوکس استفاده می‌شود) و یک فایل باینری ELF (Linux) که به عنوان یک نوع TinyShell شناسایی شده است.

این حمله دستگاه Secure Mobile Access (SMA) 100 را هدف قرار می دهد، یک ابزار دسترسی از راه دور ایمن که توسط شرکت ها و سازمان ها برای استقرار و مدیریت کارگران از راه دور استفاده می شود. SMA 100 می تواند کنترل دسترسی به کاربران راه دور، اتصالات VPN و پروفایل های منحصر به فرد را برای هر کاربر فراهم کند. در سال 2021، این دستگاه مورد هدف هکرهایی قرار گرفت که از نقص روز صفر سوء استفاده کردند.

محققان امنیتی در Mandiant کمپین مخرب جدیدی را علیه لوازم شبکه فروخته شده توسط SonicWall کشف کرده اند. به گفته تحلیلگران، بازیگران ناشناخته پشت این کمپین احتمالا چینی هستند و به نفع دیکتاتوری کمونیستی کار می کنند، و این گروه در حال حاضر با نام UNC4540 دنبال می شود.

بخونید:  آمازون 9000 کارمند دیگر از جمله 400 کارمند توییچ را اخراج می کند

Mandiant گفت این تکنیک بسیار پیچیده نیست، اما نشان دهنده تلاش قابل توجهی است که توسط مجرمان سایبری ناشناخته برای مطالعه و درک چرخه به روز رسانی دستگاه انجام شده است.

محققان هنوز ناقل اولیه عفونت را شناسایی نکرده‌اند، اما SonicWall (که با Mandiant برای کشف این تهدید همکاری کرد) یک به‌روزرسانی سیستم‌افزار جدید (10.2.1.7) را برای SMA 100 منتشر کرده است. این شرکت همچنین به مشتریان و مدیران توصیه می‌کند که مرتباً آن را بررسی کنند. لاگ دستگاه برای شناسایی هر نشانه ای از عفونت مداوم.



منبع

تهدید کشف شده توسط Mandiant برای زنده ماندن از آخرین به روز رسانی سیستم عامل ارائه شده توسط SonicWall طراحی شده است. برای دستیابی به این نوع پایداری، بدافزار هر 10 ثانیه یک بار به‌روزرسانی‌های جدید میان‌افزار را از راه دور بررسی می‌کند. هنگامی که یک به روز رسانی در دسترس است، بدافزار بایگانی را دانلود می کند، آن را از حالت فشرده خارج می کند و نصب می کند و سپس خود را در آن کپی می کند.

در متن: SonicWall یک شرکت آمریکایی است که لوازم اینترنتی را برای امنیت شبکه و دسترسی از راه دور می‌فروشد و آن را به یک هدف بالقوه بسیار جذاب برای مجرمان سایبری تبدیل می‌کند که تلاش می‌کنند حضوری مداوم در سازمان‌های با سابقه در سراسر جهان داشته باشند.