Kampanye peretasan China yang dicurigai telah menargetkan peralatan SonicWall Secure Mobile Access (SMA) yang belum ditambal untuk menginstal malware khusus yang menetapkan persistensi jangka panjang untuk kampanye spionase dunia maya.
Malware yang disebarkan disesuaikan untuk perangkat SonicWall dan digunakan untuk mencuri kredensial pengguna, memberikan akses shell ke penyerang, dan bahkan bertahan melalui peningkatan firmware.
Kampanye ditemukan oleh Mandiant dan tim PSIRT SonicWall, yang melacak aktor di belakangnya sebagai UNC4540, kemungkinan besar berasal dari China.
Malware baru menargetkan perangkat SonicWall
Malware yang digunakan pada perangkat SonicWall terdiri dari biner ELF, pintu belakang TinyShell, dan beberapa skrip bash yang menunjukkan pemahaman mendalam tentang perangkat jaringan yang ditargetkan.
“Perilaku keseluruhan rangkaian skrip bash berbahaya menunjukkan pemahaman mendetail tentang alat dan disesuaikan dengan baik ke sistem untuk memberikan stabilitas dan kegigihan,” jelas Mandiant.
Modul utama, bernama ‘firewalld’, mengeksekusi perintah SQL terhadap database alat untuk mencuri kredensial hash dari semua pengguna yang masuk.
Kredensial yang dicuri disalin pada file teks yang dibuat oleh penyerang di ‘tmp/syslog.db’ dan kemudian diambil untuk diretas secara offline.
Selain itu, firewalld meluncurkan komponen malware lainnya, seperti TinyShell, untuk membuat shell terbalik pada alat agar mudah diakses dari jarak jauh.
Terakhir, modul malware utama juga menambahkan tambalan kecil ke binary ‘berbasis api’ SonicWall yang sah, tetapi peneliti Mandiant tidak dapat menentukan tujuan pastinya.
Para analis berhipotesis bahwa modifikasi ini membantu stabilitas malware saat perintah shutdown dimasukkan ke perangkat.
Meskipun tidak jelas kerentanan apa yang digunakan untuk mengkompromikan perangkat, Mandiant mengatakan bahwa perangkat yang ditargetkan tidak ditambal, membuatnya rentan terhadap kelemahan yang lebih lama.
Kelemahan terbaru diungkapkan oleh SonicWall [1, 2, 3] perangkat SMA yang terkena dampak memungkinkan akses tanpa autentikasi ke perangkat, yang kemudian dapat digunakan dalam kampanye seperti ini.
Kegigihan dan ketahanan
Mandiant mengatakan ada tanda-tanda bahwa malware diinstal pada sistem yang diuji sepanjang tahun 2021 dan bertahan melalui beberapa pembaruan firmware berikutnya pada perangkat.
Pelaku ancaman mencapai ini dengan menggunakan skrip yang menawarkan redundansi dan memastikan akses jangka panjang ke perangkat yang dilanggar.
Misalnya, ada skrip bernama “iptabled” yang pada dasarnya adalah modul yang sama dengan firewalld tetapi hanya akan dipanggil oleh skrip startup (“rc.local”) jika proses utama malware keluar, macet, atau tidak dapat diluncurkan.
Selain itu, penyerang menerapkan proses di mana skrip bash (“geoBotnetd”) memeriksa pembaruan firmware baru di “/cf/FIRMWARE/NEW/INITRD.GZ” setiap 10 detik. Jika ditemukan, malware menyuntikkan dirinya ke dalam paket pemutakhiran untuk bertahan bahkan setelah pemutakhiran firmware.
Skrip juga menambahkan pengguna pintu belakang bernama “acme” pada file pemutakhiran sehingga mereka dapat mempertahankan akses setelah pembaruan firmware diterapkan ke alat yang dilanggar.
Administrator sistem disarankan untuk menerapkan pembaruan keamanan terbaru yang disediakan oleh SonicWall untuk peralatan SMA100.
Versi target yang direkomendasikan saat ini adalah 10.2.1.7 atau lebih tinggi, yang mencakup Pemantauan Integritas File (FIM) dan identifikasi proses anomali, yang akan mendeteksi dan menghentikan ancaman ini.
Kampanye ini memiliki banyak kesamaan dengan serangan baru-baru ini yang menargetkan a kerentanan zero-day di perangkat Fortinet SSL-VPN digunakan oleh organisasi pemerintah dan target terkait pemerintah.
Mirip dengan kampanye SonicWall, pelaku ancaman di balik serangan Fortinet menunjukkan pengetahuan yang mendalam tentang perangkat dan bagaimana mereka beroperasi untuk menyuntikkan malware khusus untuk kegigihan dan pencurian data.
“Dalam beberapa tahun terakhir penyerang China telah menyebarkan beberapa eksploitasi zero-day dan malware untuk berbagai peralatan jaringan yang menghadap internet sebagai rute untuk intrusi perusahaan penuh, dan contoh yang dilaporkan di sini adalah bagian dari pola baru-baru ini yang diharapkan Mandiant akan berlanjut dalam waktu dekat. istilah,” memperingatkan Mandiant dalam laporan tersebut.
