Featured image of post Attack kampania na urządzeniach krawędziowych: nieuznawana od 2021 roku i opiera się na aktualizacji oprogramowania systemowego.
Edge Security

Attack kampania na urządzeniach krawędziowych: nieuznawana od 2021 roku i opiera się na aktualizacji oprogramowania systemowego.

Możliwa kampania nalotu na nieuszkodzona przez SonicWall SMA była niezauważona od 2021 r. i mogła istnieć nawet poprzez aktualizacje oprogramowania.

A model representing edge computing security with connected devices.

ArtemisDiana/Adobe Stock (ang.). A raportować W nowym dokumencie badawczym Mandiant składa się z kilku skryptów smyczkowych i pojedynczego pliku Executable i Linkable Format (ELF) identyfikowanego jako wariant backdoorowy TinyShell. Tinyshell jest publicznie dostępnym narzędziem używanym przez kilku aktorów grożących. Figura A ).

Figura A

List of malware files used in the attack.

W: Mandiant. Lista plików malware używanych w ataku. Główny proces malware to plik zwany „zamkniętą”, który wykonuje drzwi z TinyShell z parametrami, które umożliwiają odwróconą powłokę dla aktora groźnego. Odwrócona powłoka nazywa serwerem C2 w czasie, a dzień podany przez scenariusz. Jeśli adres IP nie jest udostępniany, gdy nazywamy binarną TinyShell, adres twardego IP dostaje się.

Zastrzeżenia bezpieczeństwa

  • Zagrożenia dla 2023 roku

  • Najlepszy program zarządzania aktywami

  • Meet jest najbardziej wszechstronnym przenośnym urządzeniem cybersecurity.

  • Jak zabezpieczyć e-mail poprzez szyfrowanie, zarządzanie hasłami i więcej (TechRepublic Premium).

    Kopia pliku „zamkniętego” zwana „odpowiednikiem” została zmieniona w celu zapewnienia ciągłości głównego oprogramowania w przypadku katastrofy lub zakończenia. Obydwa scenariusze zostały ustawione, aby uaktywnić jeden inny w przypadku, gdy drugi był już nie uruchomiony, co dało podstawowy przykład procesu malware’u i tym samym zwiększyło jego resilience.

Proces Firewalld został uruchomiony w czasie bootowania przez skrypt o nazwie “rc.local”, mający na celu ułatwienie przedłużonego dostępu napastnika.

W celu zwiększenia stabilności pliku “ifconfig6”. Główny proces „zamknięty” dodaje małą łatkę do słusznej binarnej SonicWall, która zastępuje strunę z napisem „ipconfig6”. Badacze z Mandiant podejrzewają, że atakujący napotkali problemy, gdy „skrypt oparty” został zamknięty i postanowili stworzyć mały scenariusz, aby ją ulepszyć.

Gdy wszystko jest ustalone, ostatecznym celem złośliwego oprogramowania jest rutynowo uruchamianie poleceń SQL, aby złapać szuflady wszystkich zalogowanych użytkowników. Napastnik mógł następnie odzyskać te skróty, aby je złamać.

aktualizacja oprogramowania firmy zmodyfikowana

Scenariusz “geoBotnetd” znalazł się na zainfekowanych urządzeniach co 10 sekund dla aktualizacji oprogramowania, które pojawiły się w /cf/FIRMWARE/NEW/INITRD. GZ. Jeśli jest to sprawa, scenariusz będzie z powrotem do pliku, unzip it, montował go, a następnie kopiował cały pakiet plików malware. Dodaje również użytkownikowi z backdoored root o nazwie “acme” do systemu. Wtedy malware zrezygnuje go i umieszcza go w miejscu.

Ta technika, choć nie bardzo wyrafinowana, pokazuje, jak motywowane atakującym są zachowanie długoterminowego dostępu, ponieważ solidna znajomość procesu ulepszania oprogramowania jest niezbędna do tworzenia i wdrożenia tej techniki.

Badacze Mandiant wskazują, że ta technika jest spójna z techniką. kolejny atak Kampania ta wspierała kluczowe chińskie priorytety rządowe.

Wieloletnia kampania na rzecz cyberprzestępstwa.

Podczas gdy główne wektory infekcji nie są znane w tej kampanii, badacze Mandiant wskazują, że złośliwe lub poprzednik był prawdopodobnie rozlokowany w 2021 roku, a niebezpieczeństwo prawdopodobnie zachowało dostęp, nawet przez wiele aktualizacji oprogramowania.

Ponieważ jedynym celem złośliwego oprogramowania jest kradzież kredenckich użytkowników, jest zdecydowanie podejrzewany, że kampania nalotu podąża śladem szpiegostwa na cyberprzewodowego.

Mandiant twierdzi, że rozwijanie złośliwego oprogramowania dla urządzenia zarządzanego nie jest trywialnym zadaniem, ponieważ dostawcy nie oferują bezpośredniego dostępu do systemu operacyjnego lub nawet do systemu plików. To sprawia, że trudno jest rozwijać wykorzystanie i malware dla tych urządzeń.

Jak chronić przed tym zagrożeniem?

W tym celu SonicWall namawia klientów SMA100 do tego celu. modernizacja Wersja 10.2.1.7 lub wyżej. Ulepszenie obejmuje ulepszenia, takie jak File Integrity Monitoring (FIM) i identyfikację procesu anomalnego.

W większej skali. zabezpieczenie Z kompromisu wymaga wielokrotnego podejścia, który obejmuje zarówno środki bezpieczeństwa fizycznego, jak i oprogramowania.

Ponadto edukują pracowników na najlepszych praktykach cybersekuracji, takich jak identyfikacja maili i unikanie podejrzanych stron internetowych lub pobrań. Podczas gdy początkowo wektor infekcji nie jest znany, jest wysoce prawdopodobne, że może być ona phishing emailem.

Rozwinięcie: Pracuję dla Trenda Micro, ale w tym artykule wyrażone są moje poglądy.

image

 ###  Cybersecurity Insider Newsletter (ang.).

Strengthen your organization’s IT security defenses by zachować jak najnowsze wiadomości cybersekuracyjne, rozwiązania i najlepsze praktyki.

Wtorek i czwartki znakować

© 2024 BilbyTech