Çin bağlantılı olduğundan şüphelenilen bir bilgisayar korsanlığı kampanyasının, kötü amaçlı yazılımı bırakmak ve uzun vadeli kalıcılık sağlamak için yama uygulanmamış SonicWall Secure Mobile Access (SMA) 100 cihazlarını hedef aldığı gözlemlendi.
Siber güvenlik şirketi Mandiant, bu hafta yayınlanan teknik bir raporda, “Kötü amaçlı yazılımın, kullanıcı kimlik bilgilerini çalma, kabuk erişimi sağlama ve ürün yazılımı yükseltmeleri yoluyla devam etme işlevi vardır.” Dedi.
Google’ın sahibi olduğu olay müdahale ve tehdit istihbaratı firması, etkinliği kategorize edilmemiş takma adı altında izliyor UNC4540.
Bir bash betikleri koleksiyonu ve TinyShell arka kapısı olarak tanımlanan tek bir ELF ikili dosyasından oluşan kötü amaçlı yazılım, saldırganın SonicWall cihazlarına ayrıcalıklı erişim sağlaması için tasarlandı.
Özel araç setinin arkasındaki genel amaç, kötü amaçlı yazılımın, saldırganın oturum açmış tüm kullanıcıların kriptografik olarak hashlenmiş kimlik bilgilerini sifonlamasına izin vermesiyle, kimlik bilgisi hırsızlığı gibi görünüyor. Ayrıca, güvenliği ihlal edilmiş cihaza kabuk erişimi sağlar.
Mandiant ayrıca, saldırganın cihaz yazılımını derinlemesine anladığının yanı sıra, üretici yazılımı güncellemelerinde kalıcılık sağlayabilen ve ağ üzerinde bir dayanak noktası sağlayabilen özel kötü amaçlı yazılım geliştirme becerilerini de vurguladı.
Saldırıda kullanılan tam ilk izinsiz giriş vektörü bilinmiyor ve kötü amaçlı yazılımın, bazı durumlarda 2021 gibi erken bir tarihte, bilinen güvenlik açıklarından yararlanılarak cihazlara yerleştirildiğinden şüpheleniliyor.
Açıklamayla aynı zamana denk gelen SonicWall, Dosya Bütünlüğü İzleme (FIM) ve anormal süreç tanımlama gibi yeni güvenlik geliştirmeleriyle gelen güncellemeler (sürüm 10.2.1.7) yayınladı.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Gelişme, başka bir China-nexus tehdit aktörünün, Fortinet FortiOS SSL-VPN’deki artık yamalanmış bir güvenlik açığından, bir Avrupa devlet kuruluşunu ve Afrika’da yerleşik bir yönetilen hizmet sağlayıcıyı (MSP) hedef alan saldırılarda sıfır gün olarak yararlandığının tespit edilmesinden yaklaşık iki ay sonra geldi. .
Mandiant, “Son yıllarda Çinli saldırganlar, tam kurumsal izinsiz girişe giden bir yol olarak, internete bakan çeşitli ağ aygıtları için birden çok sıfır gün açıklarından yararlanma ve kötü amaçlı yazılım dağıttı.”