Siber suç, sahtekarlık yönetimi ve siber suç, yönetişim ve risk yönetimi
Hacking Group UNC6148, yeni abartılı rootkit ile kimlik bilgilerini çalıyor, Google diyor
Akhabokan Akan (Athokan_akhsha) •
16 Temmuz 2025
Bir siber suç grubu, kimlik bilgilerini çalmak için tamamen yamalı bir Sonicwall cihazında bir arka kapı kullandı ve Google Tehdit İstihbarat Grubu’na göre çalınan verileri fidye yazılım gruplarına satmış olabilir.
Ayrıca bakınız: Siber Kurtarma Oyun Kitabınızı Nasıl Oluşturabilirsiniz?
Şirket, kampanyayı UNC6148 olarak izlediği bir siber suç grubuna bağladı. Ocak ayında başlayan kampanya, daha önce görülmemiş bir rootkit’i Over STEP olarak kullanan yaşam sonu Sonicwall Secure Mobile Access 100 serisini – güvenli bir uzaktan erişim cihazı – hedefliyor.
Google, “UNC6148’in, hedeflenen SMA cihazının en son ürün yazılımı sürümüne güncellenmesinden önce yönetici kimlik bilgilerini çalmak için bilinen bir güvenlik açığından yararlandığını değerlendiriyoruz.” Dedi. “UNC6148 başlangıçta bu kimlik bilgilerini Ocak 2025’e kadar SMA cihazından çıkarmış olabilir.”
En son kampanyaya bağlı operasyonlar geçen yıl Ekim ayında başlamış olabilir. O zamandan beri sömürülen Sonicwall Kusurları ile ilgili bilgilere dayanarak, Google UNC6148’in sömürmüş olabileceğini değerlendirir:
- CVE-2021-20038: Kimliği doğrulanmamış bir yığın tabanlı tampon taşma güvenlik açığı. Sonicwall 2021’de kusuru yamaladı (bakınız: Sonicwall Sma 100 Serisi kullanıcıları en son düzeltmeyi uygulamaya çağırdı).
- CVE-2024-38475: Apache HTTP sunucusunda, bilgisayar korsanlarının URL’leri dosya sistemi konumlarına eşlemesine izin veren kimlik doğrulanmamış yol geçiş güvenlik açığı. Sonicwall, güvenlik açığının Mayıs ayında bilgisayar korsanları tarafından kullanıldığını bildirdi.
- CVE-2021-20035 ve CVE-2021-20039: SMA100 yönetim arayüzünde uygunsuz nötralizasyon kusurları.
- CVE-2025-32819: Saldırganların fabrika varsayılan ayarlarının yeniden başlatılmasına izin vermek için yol geçiş kontrollerini atlamalarını sağlayan bir ayrıcalık artış kusurudur.
Bu kusurların sömürülmesi yalnızca SMA cihazına belirli bir erişim seviyesi ile mümkün olduğundan, Google Hacker’ların Infostealer günlükleri veya kimlik bilgisi pazarları aracılığıyla ilk erişimi kazanmış olabileceğinden şüpheleniyor. Şirket, Google tarafından tanımlanmayan diğer güvenlik açıklarından da yararlanmaları muhtemeldir.
Başlangıç erişimini kazandıktan sonra, UNC6148, hedeflenen SMA 100 Serisi cihazında güvenli bir soket katmanı sanal özel ağ oturumu oluşturur. Saldırgan daha sonra yerleşik ikili dosyalar kullanarak ilk keşif ve dosya manipülasyonu yapmak için hedeflenen cihaza ters bir kabuk kullanır.
Sürekli işlemi sağlamak için, tehdit oyuncusu muhtemelen yeni bir ağ yolu oluşturmak için çevrimdışı olarak ihraç edilen bir dosya kullanıyor. Bilgisayar korsanları daha sonra kalıcılık oluşturmak için bir yapılandırma dosyasına backdoor aşırıyor.
Google, “Değişiklikler, cihaz yeniden başlatıldığında, aşırı aşınma ikili, cihazdaki çalışan dosya sistemine yükleneceği anlamına geliyordu.” Dedi.
Özellikle, bilgisayar korsanları, kötü amaçlı bir dosya enjekte etmek için initrd görüntü dosyasını açmak ve yeniden paketlemek için RC.FWBoot komut dosyasındaki önyükleme geçerli ürün yazılımı işlevini değiştirir. Dosya daha sonra önyükleme sırasında yürütülür ve algılamasını zorlaştırır.
Kötü amaçlı yazılım, daha fazla gelişmiş gizli yetenekler sunan değiştirilmiş dosyaları ve yapılan diğer değişiklikleri kaldırmaya devam eder. Saldırının bir sonraki aşamasında, arka kapı API’sı kimlik bilgileri, bir kerelik şifre jetonları ve sertifikalar için işlev görür.
Google Tehdit İstihbarat Grubu Kıdemli Güvenlik Mühendisi Zander Work, “Aşırı STEP, SMA’nın özel dosya sistemi düzeninde özel olarak işlev görecek şekilde özelleştirildi ve parçalarını kapsamak için günlüğe kaydetme etkinliğini filtreleyin.” Dedi. “Bu tür bir özelleştirme, GTIG’nin grupların çoğunluğundan tipik olarak gözlemlediği bir şey değildir. UNC6148’in 2023 gibi erken bir tarihte aşma gelişmiş olabileceğine inanıyoruz” dedi.
Tehdit oyuncusu hakkında çok az şey biliniyor, ancak Google, çalınan kimlik bilgilerinin veri gasp veya fidye yazılımı dağıtımı için kullanılabileceğini söylüyor. Kötü amaçlı yazılım altyapısı örtüşmesine dayanarak Google, kötü amaçlı yazılımın muhtemelen 2023’te Sonicwall SMA’yı hedefleyen Abyss fidye yazılımı tarafından kullanıldığını belirtiyor. Hackerlar CVE-2021-20038 ve CVE-2021-20039’dan yararlandı.
Sonicwall bir yorum talebine hemen yanıt vermedi. Cihazları son aylarda birden fazla saldırıya eğilimlidir.
Haziran ayında Sonicwall, bilgisayar korsanlarının yayılmış kötü amaçlı yazılım için NetExtender yazılımının sahte bir versiyonunu kullandığını açıkladı. Geçen yıl, araştırmacılar eski Seri 7 güvenlik duvarında çalışan 25.000 Sonicwall SSLVPN cihazlarını ortaya çıkardı ve potansiyel hack’lere maruz bıraktı (bkz:: Kritik Kusurlar Hacker’lara 25.000 Sonicwall Cihazını Açığa Çıkarıyor).
Google, Sonicwall müşterilerinin potansiyel uzlaşmayı kontrol etmesini, etkilenen cihazları izole etmesini, tüm kimlik bilgilerini sıfırlamasını ve herhangi bir sertifikayı özel anahtarlarla yeniden düzenlemesini ve yeniden yayınlamasını önerir.