Hackers vinculados a China apuntan a dispositivos SonicWall SMA sin parches – Masterhacks Blog

Hackers vinculados a China apuntan a dispositivos SonicWall SMA sin parches

Se ha observado una sospechosa campaña de hacking vinculada a China, dirigida a dispositivos SonicWall Secure Mobile Access (SMA) 100 sin parches, con el fin de colocar malware y establecer una persistencia a largo plazo.

«El malware tiene la funcionalidad de robar las credenciales de los usuarios, proporcionar acceso de shell y persistir por medio de las actualizaciones de firmware», dijo la compañía de seguridad cibernética Mandiant.

La compañía de inteligencia de amenazas y respuesta a incidentes, propiedad de Google, está rastreando la actividad bajo su nombre no categorizado UNC4540.

El malware, una colección de scripts y bash y un solo binario ELF identificado como una backdoor TinyShell, está diseñado para otorgar al atacante acceso privilegiado a los dispositivos SonicWall.

El objetivo general detrás del conjunto de herramientas de personalizado parece ser el robo de credenciales, con el malware que permite al adversario desviar las credenciales cifradas criptográficamente de todos los usuarios registrados. Además, proporciona acceso de shell al dispositivo comprometido.

Mandiant también mencionó la comprensión profunda del atacante del software del dispositivo, así como su capacidad para desarrollar malware personalizado que puede lograr la persistencia en las actualizaciones de firmware y mantener un punto de apoyo en la red.

Se desconoce el vector de intrusión inicial exacto utilizado en el ataque, y se sospecha que el malware probablemente se implementó en los dispositivos, en algunos casos ya en 2021, al aprovechar fallas de seguridad conocidas.

Coincidiendo con la divulgación, SonicWall ha lanzado actualizaciones (versión 10.2.1.7) que vienen con nuevas mejoras de seguridad como el Monitoreo de Integridad de Archivos (FIM) y la identificación de procesos anómalos.

El desarrollo se produce casi dos meses después de que se descubriera que otro atacante de China explotaba una vulnerabilidad ya parcheada en Fortinet FortiOS SSL-VPN como un ataque de día cero contra una entidad gubernamental europea y un proveedor de servicios gestionados (MSP) ubicado en África.

«En los últimos años, los atacantes chinos han implementado múltiples exploits de día cero y malware para una variedad de dispositivos de red orientados a Internet como una ruta hacia la intrusión empresarial completa», dijo Mandiant.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *