Çin kaynaklı olduğundan şüphelenilen bir siber saldırı dalgasının , kötü amaçlı yazılımı bırakmak ve uzun vadeli kalıcılık sağlamak için SonicWall Secure Mobile Access (SMA) 100 cihazlarını hedef aldığı gözlemlendi.
https://thehackernews.com ‘da yer alan habere göre Siber güvenlik şirketi Mandiant, bu hafta yayınlanan teknik bir raporda, “Kötü amaçlı yazılımın, kullanıcı kimlik bilgilerini çalma, kabuk erişimi sağlama ve ürün yazılımı yükseltmeleri yoluyla devam etme işlevi” olduğunu belirtti.
Aynı zamanda bir tehdit istihbaratı firmasının müşterilerine geçtiği bir e-posta bildiriminde Dağıtılan zararlı yazılımların SonicWall cihazları için özelleştirildiğinin görüldüğü ve kullanıcı kimlik bilgilerini çaldığı, saldırganlara shell access sağladığı hatta ürün yazılımı güncelleştirmelerini atlatmak için tasarlandığının da bilindiği aktarıldı. Aynı bildirimde kampanyayı gerçekleştiren tehdit aktörünün ise UNC4540 olduğunun tahmin edildiği ve thecackernews.com’daki habere göre Google’ın sahibi olduğu olay müdahale ve tehdit istihbaratı firması mandiant ‘ın , etkinliği kategorize edilmemiş takma adı UNC4540 olan tehdit aktörü grubu altında izlediği bilgisi geçildi.
| Path | Hash | Function |
| /bin/firewalld | e4117b17e3d14fe64f45750be71dbaa6 | Main malware process |
| /bin/httpsd | 2d57bcb8351cf2b57c4fd2d1bb8f862e | TinyShell backdoor |
| /etc/rc.d/rc.local | 559b9ae2a578e1258e80c45a5794c071 | Boot persistence for firewalld |
| /bin/iptabled | 8dbf1effa7bc94fc0b9b4ce83dfce2e6 | Redundant main malware process |
| /bin/geoBotnetd | 619769d3d40a3c28ec83832ca521f521 | Firmware backdoor script |
| /bin/ifconfig6 | fa1bf2e427b2defffd573854c35d4919 | Graceful shutdown script |
The Hacker News ile paylaşılan bir açıklamada SonicWall, kampanyanın “2021 zaman diliminden son derece sınırlı sayıda yama uygulanmamış SMA 100 serisi cihazı” hedeflediğini ve “yeni bir güvenlik açığından” yararlanmadığını söyledi.
Gelişmenin, Fortinet SSL-VPN cihazlarındaki zero day güvenlik zafiyetini hedef alan son saldırılardan 2 ay sonra meydana gelmesi ile iki saldırı arasındaki benzerliği göze çarpıyor.
SonicWall, SMA100 müşterilerini, Dosya Bütünlüğü İzleme (FIM) ve anormal işlem tanımlama gibi güçlendirme geliştirmelerini içeren 10.2.1.7 veya daha yüksek bir sürüme yükseltmeye teşvik ediyor.