Les appareils SonicWall sont attaqués par des logiciels malveillants très persistants (s’ouvre dans un nouvel onglet) qui est capable de survivre grâce à plusieurs mises à jour du micrologiciel, ont affirmé les experts.
Les chercheurs en cybersécurité de Mandiant et SonicWall ont récemment découvert un logiciel malveillant personnalisé, conçu spécifiquement pour les appliances SonicWall Secure Mobile Access (SMA), très probablement conçu par un acteur de menace chinois surnommé UNC4540.
Ses fonctionnalités montrent une « compréhension approfondie » des appareils pour lesquels il a été conçu, et le malware est conçu pour l’espionnage, affirment les chercheurs, car il est capable de voler les mots de passe des utilisateurs, ainsi que de fournir un accès au shell.
Établir un accès à distance
« Le comportement global de la suite de scripts bash malveillants montre une compréhension détaillée de l’appliance et est bien adapté au système pour assurer la stabilité et la persistance », a déclaré Mandiant.
Le module principal peut voler les informations d’identification hachées de tous les utilisateurs connectés aux points de terminaison compromis, les copier dans un fichier texte et les expédier pour les déchiffrer ailleurs. Un autre module établit un shell inversé pour un accès à distance facile. De plus, les chercheurs ont trouvé un module qui ajoute un petit patch à un binaire SonicWall légitime dont ils n’ont toujours pas pu déterminer le but.
Les chercheurs n’ont pas non plus pu déterminer quelle vulnérabilité les attaquants ont utilisée pour compromettre ces appareils avec des logiciels malveillants, mais ils soupçonnent que le logiciel malveillant a été déployé il y a des années et a survécu avec succès à plusieurs mises à jour du micrologiciel. Ils pensent que le compromis initial aurait pu être fait en 2021.
Pour protéger vos appareils contre des menaces inconnues telles que celle-ci, la meilleure chose à faire est d’appliquer les dernières mises à jour de sécurité. La dernière version de SonicWall pour les appliances ciblées est la 10.2.1.7, indique la publication, ajoutant que le correctif inclut la surveillance de l’intégrité des fichiers (FIM) et l’identification des processus anormaux, deux fonctionnalités « qui devraient détecter et arrêter cette menace ».
« Ces dernières années, les attaquants chinois ont déployé plusieurs exploits et logiciels malveillants de type « zero-day » pour une variété d’appareils réseau connectés à Internet comme voie d’intrusion complète dans l’entreprise, et l’instance rapportée ici fait partie d’un modèle récent que Mandiant s’attend à poursuivre dans un proche avenir. terme », a conclu Mandiant.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)