SonicWall正受到一些非常持久的恶意软件的攻击

SonicWall设备正受到一些非常持久的恶意软件的攻击(在新标签页中打开)专家声称，它能够通过多次固件更新存活下来。

Mandiant和SonicWall的网络安全研究人员最近发现了一种定制的恶意软件，专为SonicWall安全移动访问(SMA)设备设计，很可能是由名为UNC4540的中国威胁参与者设计的。

研究人员声称，它的功能显示出对其所针对设备的“深刻理解”，并且该恶意软件专为间谍活动而设计，因为它能够窃取用户密码并提供shell访问。

“恶意bash脚本套件的整体行为显示了对设备的详细了解，并且针对系统进行了很好的定制，以提供稳定性和持久性，”Mandiant说。

主模块可以窃取登录到受感染端点的所有用户的哈希凭证，将它们复制到一个文本文件中，然后将它们发送到别处进行解密。另一个模块建立一个反向shell，方便远程访问。此外，研究人员还发现了一个模块，该模块向合法的SonicWall二进制文件添加了一个小补丁，但他们仍无法确定其目的。

研究人员也无法确定攻击者使用了哪个漏洞来通过恶意软件破坏这些设备，但他们怀疑该恶意软件是多年前部署的，并且成功地通过了多次固件更新。他们认为最初的妥协可以在2021年完成。

为了保护您的设备免受诸如此类的未知威胁，最好的做法是应用最新的安全更新。该出版物称，SonicWall针对目标设备的最新版本是10.2.1.7，并补充说该补丁包括文件完整性监控(FIM)和异常进程识别，这两个功能“应该可以检测并阻止这种威胁”。

“近年来，中国攻击者已经为各种面向互联网的网络设备部署了多个零日攻击和恶意软件，作为对企业进行全面入侵的途径，这里报告的实例是Mandiant预计近期将继续出现的近期模式的一部分术语，”Mandiant总结道。