Новые угрозы заражают широко используемое устройство безопасности компании SonicWall вредоносным ПО. Оно остается активным даже после того, как устройство получает обновления прошивки, сообщили исследователи по кибербезопасности.

SonicWall Secure Mobile Access 100 – это устройство защищенного удаленного доступа, которое помогает организациям безопасно развертывать удаленные рабочие группы. В 2021 году устройство подверглось атаке со стороны хакеров.

Компания Mandiant, занимающаяся вопросами безопасности, заявила, что тогда хакеры взломали устройства путем запуска вредоносного ПО на непропатченных устройствах SonicWall SMA. Работы хакеров отличилась способностью вредоносного ПО оставаться на устройствах даже после получения новой прошивки.

Для достижения этой устойчивости вредоносная программа проверяет наличие доступных обновлений прошивки каждые 10 секунд. Когда обновление становится доступным, вредоносная программа копирует архивный файл для резервного копирования, распаковывает его, монтирует, а затем копирует на него весь пакет вредоносных файлов.

Кроме того, вредоносная программа добавляет в смонтированный файл бэкдор. Затем вредоносная программа разархивирует файл, чтобы он был готов к установке.

Источник: Ferra