%{FACEBOOKSCRIPT}%
  1. HOME
  2. サイバーセキュリティお役立ち情報
  3. 記事一覧
  4. SonicWall SMA100が中国ハッカーに攻撃されている

SonicWall SMA100が中国ハッカーに攻撃されている

  • LINEで送る
  • このエントリーをはてなブックマークに追加
SonicWall SMA100が中国ハッカーに攻撃されている

UNC4540として知られる中国政府系脅威アクターが、パッチ未適用のSonicWall Secure Mobile Access(SMA)機器を狙ってマルウェアによる攻撃を行っていることがセキュリティベンダーMandiantによって検知されました。
このマルウェアは2021年にはターゲットに配送され、複数回のファームウェア・アップデートにも関わらず永続性を保持してきたことが明らかになっています。

VPN機器やSWG、リモートアクセス製品、UTM等は、導入した後も放置せずにアップデート等の管理を継続することが不可欠です。重大脆弱性や、脅威アクターによる悪用等の情報を常に収集し、攻撃に備えることを推奨します。

最終更新:2023.3.14 バッシュスクリプトのIoCを追加

 

脅威インテリジェンスプラットフォームCognyteは、ダークウェブやSNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、リスクを軽減させるサービスです。
Cognyteが持つ機能の一例として本レポートを紹介します。

 Cognyte CTI Research Group@Cognyte | 2023年3月

 


記事に関するお問い合わせはこちらへ(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

SonicWall SMA用マルウェア

脅威アクターが用いるマルウェアは、SonicWall製品の既知の脆弱性を悪用して配送されたと推定されます。
攻撃を受けたSonicWall SMAデバイスは、複数の悪性ファイルを通じて特権を侵害されます。

このマルウェアは、当該機器向けに作成された複数のBashスクリプトと、ELFバイナリファイルによって構成されています。このバイナリファイルは、オープンソースTinyShellバックドアであることが判明しています。

メインのBashスクリプトであるfirewalldは、SQLコマンドを実行しクレデンシャル情報を窃取する他、TinyShellを含む他のマルウェア・コンポーネントを実行する役割を担います。
このスクリプトを通じて、脅威アクターはSonicWall SMAが取り扱う全ユーザーのパスワード・ハッシュを窃取します。

脅威アクターが運用するこのマルウェアは、以下に示す複数の方法によって侵害システム内で永続性を保持していることがわかりました。

  • rc.localというスタートアップスクリプトを作成し、firewalldスクリプトをブート時に実行
  • firewalldスクリプトのコピーであるiptabledを侵害した機器に配置し、デバイスがクラッシュした時の永続性を確保
  • ファームウェアアップデートを改ざんし、バックドアを挿入することで永続性を確保(この行為は、既に侵害されたデバイスでのみ可能)

 

まとめと推奨策

近年、中国系の脅威アクターが複数のゼロデイ脆弱性を悪用し、また公開ネットワーク機器用カスタムマルウェアを利用して不正アクセスを行う事例が観測されています。
本記事はその1つの事例であり、今後も同種のキャンペーンが行われるとセキュリティ専門家らは予測しています。

Cognyteでは、以下の対策をとることを推奨します。

  • 攻撃対象となっているSonicWall SMA100を、バージョン10.2.1.7以上にアップデートする
  • 次の項に示すIoCをセキュリティツールに組み込み、攻撃の検知・侵害調査を行う

記事に関するお問い合わせはこちらへ(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

IoC

バックドア 種別 脅威アクター
TinyShell MD5 2d57bcb8351cf2b57c4fd2d1bb8f862e UNC4540
firewalld Bash Script MD5 e4117b17e3d14fe64f45750be71dbaa6 UNC4540
rc.local Bash Script MD5 559b9ae2a578e1258e80c45a5794c071 UNC4540
iptabled Bash Script MD5 8dbf1effa7bc94fc0b9b4ce83dfce2e6 UNC4540
geoBotnetd Bash Script MD5 619769d3d40a3c28ec83832ca521f521 UNC4540
ifconfig6 Bash Script MD5 fa1bf2e427b2defffd573854c35d4919 UNC4540

 

参考ソース

リンク先は全て英語です。

  1. SonicWallアップデートリリース
  2. Sonicwallナレッジベース
  3. SecurityWeek
  4. Mandiantブログ
  5. TinyShellバックドア(github)

 

 
 
 
  • LINEで送る
  • このエントリーをはてなブックマークに追加