SonicWall SMA100が中国ハッカーに攻撃されている

• LINEで送る
• Tweet
• 

SonicWall SMA用マルウェア

脅威アクターが用いるマルウェアは、SonicWall製品の既知の脆弱性を悪用して配送されたと推定されます。
攻撃を受けたSonicWall SMAデバイスは、複数の悪性ファイルを通じて特権を侵害されます。

このマルウェアは、当該機器向けに作成された複数のBashスクリプトと、ELFバイナリファイルによって構成されています。このバイナリファイルは、オープンソースのTinyShellバックドアであることが判明しています。

メインのBashスクリプトであるfirewalldは、SQLコマンドを実行しクレデンシャル情報を窃取する他、TinyShellを含む他のマルウェア・コンポーネントを実行する役割を担います。
このスクリプトを通じて、脅威アクターはSonicWall SMAが取り扱う全ユーザーのパスワード・ハッシュを窃取します。

脅威アクターが運用するこのマルウェアは、以下に示す複数の方法によって侵害システム内で永続性を保持していることがわかりました。

• rc.localというスタートアップスクリプトを作成し、firewalldスクリプトをブート時に実行
• firewalldスクリプトのコピーであるiptabledを侵害した機器に配置し、デバイスがクラッシュした時の永続性を確保
• ファームウェアアップデートを改ざんし、バックドアを挿入することで永続性を確保（この行為は、既に侵害されたデバイスでのみ可能）

まとめと推奨策

近年、中国系の脅威アクターが複数のゼロデイ脆弱性を悪用し、また公開ネットワーク機器用カスタムマルウェアを利用して不正アクセスを行う事例が観測されています。
本記事はその1つの事例であり、今後も同種のキャンペーンが行われるとセキュリティ専門家らは予測しています。

Cognyteでは、以下の対策をとることを推奨します。

• 攻撃対象となっているSonicWall SMA100を、バージョン10.2.1.7以上にアップデートする
• 次の項に示すIoCをセキュリティツールに組み込み、攻撃の検知・侵害調査を行う

記事に関するお問い合わせはこちらへ(ＳＯＭＰＯホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

IoC

参考ソース

リンク先は全て英語です。

1. SonicWallアップデートリリース
2. Sonicwallナレッジベース
3. SecurityWeek
4. Mandiantブログ
5. TinyShellバックドア（github）