Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

wyrafinowane złośliwe oprogramowanie na urządzeniu SonicWall

Zaskakujący malware na SonicWall

Kapitan Hack / Cybernews / Zaskakujący malware na SonicWall

Należąca do Google firma Mandiant zajmująca się cyberbezpieczeństwem poinformowała w środę, że zidentyfikowała wyrafinowane złośliwe oprogramowanie na urządzeniu SonicWall. Oprogramowanie pochodzi prawdopodobnie z Chin.

Autor: 3 min czytania

Malware został przeanalizowany przez zespół ds. bezpieczeństwa produktów i reagowania na incydenty Mandiant i SonicWall. Badacze odkryli, że atakujący stworzył serię skryptów bash oraz wariant TinyShell w postaci pliku binarnego ELF.

Po analizie specjalistów można stwierdzić, że oprogramowanie zostało zbudowane do tego konkretnego ataku. Umożliwia hakerom kradzież danych uwierzytelniających — wydaje się, że to jego główny cel — i zapewnia dostęp do powłoki. Przestępcy celowali najwyraźniej w zaszyfrowane dane uwierzytelniające wszystkich zalogowanych użytkowników.

Według Mandiant złośliwe oprogramowanie „jest dobrze dopasowane do systemu, zapewnia stabilność i trwałość”. Jest w stanie przetrwać nawet w przypadku aktualizacji oprogramowania układowego.

Malware został wykryty na niezałatanym urządzeniu SonicWall Secure Mobile Access (SMA), ale nie jest jasne, w jaki sposób osoby atakujące uzyskały początkowy dostęp. Mandiant zasugerował, że hakerzy mogli wykorzystać znaną lukę w zabezpieczeniach, o której załatanie docelowy klient SonicWall nie zadbał. Cyberprzestępcy wykorzystują w swoich działaniach znane podatności, a nawet luki typu zero-day w urządzeniach SonicWall zadziwiająco często. My pisaliśmy o tym kilka razy, między innymi tutaj. Bardzo podobny do opisywanego atak producent firewalli potwierdził już rok temu. Również i to zdarzenie opisywaliśmy na KH. Wówczas dziurę wykrył FireEye. W opisie podatności firma zauważyła, że hakerzy wydawali się mieć „intymną wiedzę” na temat działania produktu SonicWall.

Mandiant uważa, że złośliwe oprogramowanie zostało wdrożone na urządzeniu prawdopodobnie w 2021 r., ale atakującemu udało się zachować dostęp, modyfikując aktualizacje oprogramowania układowego w sposób zapewniający trwałość złośliwego oprogramowania.

Firma zajmująca się bezpieczeństwem jest świadoma istnienia innego chińskiego cyberprzestępcy stosującego podobne techniki, ale zdecydowała się śledzić zagrożenia oddzielnie. „Nowa grupa” jest obecnie śledzona przez Mandiant jako UNC4540.

SonicWall ogłosił w tym tygodniu, że wydał aktualizację dla urządzeń z serii SMA 100 (10.2.1.7), która „zawiera kilka kluczowych funkcji bezpieczeństwa chroniących system operacyjny przed potencjalnym atakiem”. Zalecamy jak najszybszą aktualizację.

Popularne

Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku

Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku

Pojawiła się groźna luka, oznaczona jako CVE-2025-59287, pozwalająca atakującym na zdalne wykonanie kodu w systemach z rolą Windows Server Update Services („WSUS”). Co gorsza, został już udostępniony publiczny ex...
5 min czytania 27 paź 2025 08:00
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...
10 min czytania 20 sty 2020 12:00
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
5 min czytania 5 cze 2019 08:00
Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych

Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych

Najnowsze badania firmy Tenable ujawniają zestaw co najmniej siedmiu poważnych podatności w modelach AI GPT‑4o i GPT‑5, wykorzystywanych przez ChatGPT, które umożliwiają złośliwym podmiotom przejęcie k...
5 min czytania 6 lis 2025 08:00
Krytyczna aktualizacja – Microsoft łata aktywnie wykorzystywaną podatność w jądrze systemu Windows

Krytyczna aktualizacja – Microsoft łata aktywnie wykorzystywaną podatność w jądrze systemu Windows

W listopadowych aktualizacjach bezpieczeństwa Microsoft załatał ponad 60 podatności, w tym jedną klasyfikowaną jako aktywnie wykorzystywany „zero-day” w jądrze systemu Windows. Luka oznaczona numerem CV...
4 min czytania 13 lis 2025 08:00
Popularne
Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych
Krytyczna aktualizacja – Microsoft łata aktywnie wykorzystywaną podatność w jądrze systemu Windows
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.