Featured image of post Campagne d'attaque sur l'appareil de bord: non détecté depuis 2021 et résiste à la mise à jour du firmware

Campagne d'attaque sur l'appareil de bord: non détecté depuis 2021 et résiste à la mise à jour du firmware

Une éventuelle campagne d'attaque chinoise sur les périphériques de bord de SonicWall SMA désaffectés est restée indétectée depuis 2021 et pourrait persister même par des mises à jour de firmware.

A model representing edge computing security with connected devices.

Image: ArtemisDiana/Adobe Stock As signalés par un nouveau document de recherche Mandiant, un nouveau logiciel malveillant est fait de plusieurs scripts bash et un seul fichier binaire Executable et Linkable Format (ELF) identifié comme une variante TinyShell backdoor. Tinyshell est un outil public utilisé par plusieurs acteurs de la menace ( Figure A ).

Figure A

List of malware files used in the attack.

Image: Mandiant. Liste des fichiers logiciels malveillants utilisés dans l’attaque. Le principal processus de malware est un fichier appelé « firewalld », qui exécute la porte arrière TinyShell avec des paramètres qui lui permettent de fournir une coquille inverse à l’acteur de menace. Le shell inverse appelle un serveur C2 à la fois et à la journée fournies par le script. Si aucune adresse IP n’est fournie lors de l’appel du binaire TinyShell, elle incorpore une adresse IP codée pour atteindre.

Couverture de sécurité à lire

  • Les meilleures menaces pour la cybersécurité 2023

  • Meilleur logiciel de gestion d’actifs IT

  • Rencontrez le dispositif de cybersécurité portable le plus complet

  • Comment sécuriser votre email par cryptage, gestion de mot de passe et plus (TechRepublic Premium)

    Une copie du fichier “firewalld” appelé “iptabled” a été modifiée pour assurer la continuité du malware primaire en cas de crash ou de résiliation. Les deux scripts ont été mis en place pour s’activer l’un l’autre au cas où l’autre ne fonctionnait pas déjà, ce qui a créé une instance de sauvegarde du processus de malware primaire et a ainsi amélioré sa résilience.

Le processus « firewalld » est lancé au démarrage par un script de démarrage appelé «rc.local » destiné à faciliter l’accès prolongé d’un attaquant.

Un fichier nommé “ifconfig6” est également utilisé pour augmenter la stabilité. Le processus principal “firewalld” ajoute un petit patch à un binaire SonicWall légitime appelé “firebased”, qui remplace une chaîne d’arrêt par un appel au script “ipconfig6”. Les chercheurs de Mandiant soupçonnent que les attaquants ont rencontré des problèmes lorsque le script « basé sur le feu » a fermé l’instance et ont décidé de créer un petit script pour le patcher.

Une fois que tout est défini, le but final du malware est d’exécuter systématiquement une commande SQL pour saisir les pouvoirs hâtés de tous les utilisateurs connectés. L’agresseur pourrait alors récupérer ces hachages pour les déchirer.

Mises à jour du firmware modifiées

Un script bash appelé “geoBotnetd” trouvé sur un appareil infecté vérifie toutes les 10 secondes pour une mise à niveau du firmware à apparaître dans /cf/FIRMWARE/NEW/INITRD. GZ. Si c’est le cas, le script sauvegardera le fichier, décompressez-le, montez-le, puis copiez-le sur tout le paquet de fichiers logiciels malveillants. Il ajoute également un utilisateur racine arrière nommé “acme” au système. The malware then rezips it all and puts it back in place.

Cette technique, bien que peu sophistiquée, montre à quel point les attaquants sont motivés à maintenir leur accès à long terme, parce qu’une solide connaissance du processus de mise à niveau du firmware est nécessaire pour créer et déployer une telle technique.

Les chercheurs mandiants indiquent que cette technique est compatible avec autre attaque campagne qu’ils ont analysée qui a soutenu les principales priorités du gouvernement chinois.

Une longue campagne de cyberespionnage

Bien que le principal vecteur d’infection reste inconnu dans cette campagne d’attaque, les chercheurs Mandiant indiquent que le malware ou un prédécesseur de celui-ci a été probablement déployé en 2021 et que l’acteur de menace a probablement conservé l’accès, même par des mises à jour de firmware multiples.

Parce que le seul but du malware est de voler les pouvoirs des utilisateurs, il est fortement soupçonné que la campagne d’attaque suit les objectifs de cyberespionnage.

Mandiant insiste sur le fait que le développement de logiciels malveillants pour un appareil géré n’est pas une tâche triviale, car les fournisseurs n’offrent généralement pas un accès direct au système d’exploitation ou même au système de fichiers de ces appareils. Cela rend plus difficile de développer des exploits et des logiciels malveillants pour ces appareils.

Comment protéger contre cette menace

Pour cette attaque particulière, SonicWall exhorte les clients SMA100 à mise à niveau à la version 10.2.1.7 ou supérieure. La mise à niveau comprend des améliorations de durcissement telles que la surveillance de l’intégrité des fichiers (FIM) et l’identification de processus anormale.

A plus grande échelle, dispositifs de protection des bords de compromis nécessite une approche multidimensionnelle qui comprend des mesures de sécurité physique et logicielle.

En outre, éduquer les employés sur les meilleures pratiques en matière de cybersécurité, telles que l’identification des courriels de phishing et d’éviter les sites Web suspects ou les téléchargements. Bien que le vecteur initial d’infection n’est pas connu, il est fortement possible qu’il ait pu être phishing emails.

Divulgation : Je travaille pour Trend Micro, mais les vues exprimées dans cet article sont à moi.

image

 ###  Cybersecurity Insider Newsletter

Renforcer les défenses de sécurité de votre organisation en gardant au courant des dernières nouvelles, solutions et pratiques de cybersécurité.

Livré mardi et jeudi Inscrivez-vous aujourd’hui