SonicWall SMA100が中国ハッカーに攻撃されている
UNC4540として知られる中国政府系脅威アクターが、パッチ未適用のSonicWall Secure Mobile Access(SMA)機器を狙ってマルウェアによる攻撃を行っていることがセキュリティベンダーMandiantによって検知されました。
このマルウェアは2021年にはターゲットに配送され、複数回のファームウェア・アップデートにも関わらず永続性を保持してきたことが明らかになっています。
VPN機器やSWG、リモートアクセス製品、UTM等は、導入した後も放置せずにアップデート等の管理を継続することが不可欠です。重大脆弱性や、脅威アクターによる悪用等の情報を常に収集し、攻撃に備えることを推奨します。
最終更新:2023.3.14 バッシュスクリプトのIoCを追加
脅威インテリジェンスプラットフォームCognyteは、ダークウェブやSNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、リスクを軽減させるサービスです。
Cognyteが持つ機能の一例として本レポートを紹介します。
Cognyte CTI Research Group@Cognyte | 2023年3月
記事に関するお問い合わせはこちらへ(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
SonicWall SMA用マルウェア
脅威アクターが用いるマルウェアは、SonicWall製品の既知の脆弱性を悪用して配送されたと推定されます。
攻撃を受けたSonicWall SMAデバイスは、複数の悪性ファイルを通じて特権を侵害されます。
このマルウェアは、当該機器向けに作成された複数のBashスクリプトと、ELFバイナリファイルによって構成されています。このバイナリファイルは、オープンソースのTinyShellバックドアであることが判明しています。
メインのBashスクリプトであるfirewalldは、SQLコマンドを実行しクレデンシャル情報を窃取する他、TinyShellを含む他のマルウェア・コンポーネントを実行する役割を担います。
このスクリプトを通じて、脅威アクターはSonicWall SMAが取り扱う全ユーザーのパスワード・ハッシュを窃取します。
脅威アクターが運用するこのマルウェアは、以下に示す複数の方法によって侵害システム内で永続性を保持していることがわかりました。
- rc.localというスタートアップスクリプトを作成し、firewalldスクリプトをブート時に実行
- firewalldスクリプトのコピーであるiptabledを侵害した機器に配置し、デバイスがクラッシュした時の永続性を確保
- ファームウェアアップデートを改ざんし、バックドアを挿入することで永続性を確保(この行為は、既に侵害されたデバイスでのみ可能)
まとめと推奨策
近年、中国系の脅威アクターが複数のゼロデイ脆弱性を悪用し、また公開ネットワーク機器用カスタムマルウェアを利用して不正アクセスを行う事例が観測されています。
本記事はその1つの事例であり、今後も同種のキャンペーンが行われるとセキュリティ専門家らは予測しています。
Cognyteでは、以下の対策をとることを推奨します。
- 攻撃対象となっているSonicWall SMA100を、バージョン10.2.1.7以上にアップデートする
- 次の項に示すIoCをセキュリティツールに組み込み、攻撃の検知・侵害調査を行う
記事に関するお問い合わせはこちらへ(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
IoC
バックドア | 種別 | 値 | 脅威アクター |
TinyShell | MD5 | 2d57bcb8351cf2b57c4fd2d1bb8f862e | UNC4540 |
firewalld Bash Script | MD5 | e4117b17e3d14fe64f45750be71dbaa6 | UNC4540 |
rc.local Bash Script | MD5 | 559b9ae2a578e1258e80c45a5794c071 | UNC4540 |
iptabled Bash Script | MD5 | 8dbf1effa7bc94fc0b9b4ce83dfce2e6 | UNC4540 |
geoBotnetd Bash Script | MD5 | 619769d3d40a3c28ec83832ca521f521 | UNC4540 |
ifconfig6 Bash Script | MD5 | fa1bf2e427b2defffd573854c35d4919 | UNC4540 |
参考ソース
リンク先は全て英語です。