Una campaña de ciberataques supuestamente china se ha centrado en los dispositivos SonicWall Secure Mobile Access (SMA) sin parches para instalar malware personalizado que establece la persistencia a largo plazo para las campañas de ciberespionaje.
Este nuevo malware es persistente a las actualizaciones de firmware en dispositivos SonicWall. El malware se compone de un binario ELF, una puerta trasera TinyShell y varios scripts bash, permitiendo a los atacantes obtener credenciales de accesos de los usuarios y acceder a los dispositivos afectados a través de una consola de comandos shell.
Software afectado:
- SonicWall Secure Mobile Access (SMA).
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2023/03/BOL-CERT-PY-2023-08-Nuevo-malware-afecta-dispositivos-SonicWall.pdf
- https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/security/sonicwall-devices-infected-by-malware-that-survives-firmware-upgrades/amp/
- https://www.thehindu.com/sci-tech/technology/sonicwall-devices-infected-with-persistent-malware-by-suspected-chinese-hacking-campaign-report/article66602897.ece
- https://www.mandiant.com/resources/blog/suspected-chinese-persist-sonicwall
- https://www.sonicwall.com/products/remote-access/vpn-clients/
- https://www.sonicwall.com/support/product-notification/sma-100-series-openssl-library-update-in-10-2-1-7/230228123000903/