در متن: SonicWall یک شرکت آمریکایی است که لوازم اینترنتی را برای امنیت شبکه و دسترسی از راه دور میفروشد و آن را به یک هدف بالقوه بسیار جذاب برای مجرمان سایبری تبدیل میکند که تلاش میکنند حضوری مداوم در سازمانهای با سابقه در سراسر جهان داشته باشند.
محققان امنیتی در Mandiant کمپین مخرب جدیدی را علیه لوازم شبکه فروخته شده توسط SonicWall کشف کرده اند. به گفته تحلیلگران، بازیگران ناشناخته پشت این کمپین احتمالا چینی هستند و به نفع دیکتاتوری کمونیستی کار می کنند، و این گروه در حال حاضر با نام UNC4540 دنبال می شود.
این حمله دستگاه Secure Mobile Access (SMA) 100 را هدف قرار می دهد، یک ابزار دسترسی از راه دور ایمن که توسط شرکت ها و سازمان ها برای استقرار و مدیریت کارگران از راه دور استفاده می شود. SMA 100 می تواند کنترل دسترسی به کاربران راه دور، اتصالات VPN و پروفایل های منحصر به فرد را برای هر کاربر فراهم کند. در سال 2021، این دستگاه مورد هدف هکرهایی قرار گرفت که از نقص روز صفر سوء استفاده کردند.
تهدید کشف شده توسط Mandiant برای زنده ماندن از آخرین به روز رسانی سیستم عامل ارائه شده توسط SonicWall طراحی شده است. برای دستیابی به این نوع پایداری، بدافزار هر 10 ثانیه یک بار بهروزرسانیهای جدید میانافزار را از راه دور بررسی میکند. هنگامی که یک به روز رسانی در دسترس است، بدافزار بایگانی را دانلود می کند، آن را از حالت فشرده خارج می کند و نصب می کند و سپس خود را در آن کپی می کند.
این بدافزار همچنین یک کاربر ریشه پشتی به بسته اضافه می کند، قبل از اینکه فایل ها را مجددا فشرده کند تا آن را در جای خود قرار داده و آماده نصب شود. هنگامی که به روز رسانی انجام شد، بدافزار در محیط سفت افزار جدید نیز به کار خود ادامه می دهد.
Mandiant گفت این تکنیک بسیار پیچیده نیست، اما نشان دهنده تلاش قابل توجهی است که توسط مجرمان سایبری ناشناخته برای مطالعه و درک چرخه به روز رسانی دستگاه انجام شده است.
تحلیلگران میگویند: «در سالهای اخیر، مهاجمان چینی برای دستیابی به قابلیتهای نفوذ کامل سازمانی، چندین اکسپلویت و بدافزارهای روز صفر و بدافزار را برای انواع لوازم شبکهای که در اینترنت قرار دارند، به کار گرفتهاند». نمونه جدید UNC4540 اپیزود دیگری از این لیست طولانی از حملات پیچیده است و Mandiant انتظار دارد این روند “در آینده نزدیک” ادامه یابد.
پس از تجزیه و تحلیل بسته مخرب، محققان Mandiant مجموعهای از اسکریپتهای Bash را پیدا کردند (Bash یک پوسته یونیکس است که معمولاً به عنوان رابط ورود به سیستم پیشفرض برای سیستمهای عامل لینوکس استفاده میشود) و یک فایل باینری ELF (Linux) که به عنوان یک نوع TinyShell شناسایی شده است.
محققان هنوز ناقل اولیه عفونت را شناسایی نکردهاند، اما SonicWall (که با Mandiant برای کشف این تهدید همکاری کرد) یک بهروزرسانی سیستمافزار جدید (10.2.1.7) را برای SMA 100 منتشر کرده است. این شرکت همچنین به مشتریان و مدیران توصیه میکند که مرتباً آن را بررسی کنند. لاگ دستگاه برای شناسایی هر نشانه ای از عفونت مداوم.