Uma campanha de hacking supostamente de procedência chinesa tem como alvo dispositivos SonicWall Secure Mobile Access (SMA) não corrigidos para instalar malware personalizado que estabelece persistência de longo prazo com o propósito de espionagem cibernética. O malware implantado é personalizado para dispositivos SonicWall e usado para roubar credenciais de usuário, fornecer acesso de shell aos invasores e até persistir por meio de atualizações de firmware.
A campanha foi descoberta pela equipe PSIRT da Mandiant e da SonicWall, que rastreou o grupo hacker por trás dela como UNC4540, provavelmente de origem chinesa.
O malware usado em dispositivos SonicWall consiste em um binário ELF (Extensible Linking Format, ou formato executável e de ligação), a backdoor TinyShell e vários scripts bash que mostram uma compreensão profunda dos dispositivos de rede visados.
“O comportamento geral do conjunto de scripts bash maliciosos mostra uma compreensão detalhada do dispositivo e é bem adaptado ao sistema para fornecer estabilidade e persistência”, explica Mandiant.
Veja isso
SonicWall alerta para vulnerabilidade crítica de SQLi
SonicWall explica problema do firewall com SonicOS 7.0
O módulo principal, denominado “firewalld”, executa comandos SQL no banco de dados do dispositivo para roubar as credenciais com hash de todos os usuários conectados. As credenciais roubadas são copiadas em um arquivo de texto criado pelo invasor em “tmp/syslog.db” e posteriormente recuperadas para serem quebradas offline. Além disso, o firewalld lança outros componentes de malware, como o TinyShell, para estabelecer um shell reverso no dispositivo e facilitar o acesso remoto.
Embora não esteja claro qual vulnerabilidade foi usada para comprometer os dispositivos, a Mandiant diz que os dispositivos visados não foram corrigidos, tornando-os provavelmente vulneráveis a falhas mais antigas. A empresa diz que há sinais de que o malware foi instalado nos sistemas examinados em 2021 e persistiu por meio de várias atualizações de firmware subsequentes no dispositivo.