Bir tehdit oyuncusu, Over-STEP adlı daha önce tamamen paketlenmiş ancak artık desteklenmeyen Sonicwall güvenli mobil erişim cihazlarını değiştiren daha önce görülmemiş bir kötü amaçlı yazılım kullanıyor.
Arka kapı, bilgisayar korsanlarının kötü niyetli bileşenleri gizlemesine, cihaza kalıcı erişimi korumasına ve hassas kimlik bilgilerini çalmasına izin veren bir kullanıcı modu kök setidir.
Google Tehdit İstihbarat Grubu’ndaki (GTIG) araştırmacılar, “bilinmeyen, sıfır gün uzaktan kodu yürütme kırılganlığına” dayanabilecek saldırılarda rootkit’i gözlemlediler.
Tehdit oyuncusu UNC6148 olarak izleniyor ve en azından geçen Ekim ayından bu yana faaliyet gösteriyor ve bir kuruluş Mayıs ayında hedeflendi.
Mağdurdan çalınan dosyalar daha sonra Dünya Sızıntıları (Hunters International REBRAND) veri sızıntısı sitesinde yayınlandığından, GTIG araştırmacıları UNC6148’in veri hırsızlığı ve gasp saldırılarına girdiğine inanıyor ve ayrıca Abyss fidye yazılımını (GTIG tarafından vsociety olarak izlendi) dağıtabiliyor.
Bilgisayar korsanları hazırlanır
Bilgisayar korsanları, yerel ağdaki kurumsal kaynaklara, bulutta veya hibrid veri merkezlerine güvenli uzaktan erişim sağlayan Yaşam Sonu (EOL) Sonicwall SMA 100 Serisi cihazları hedefliyor.
Bilgisayar korsanlarının ilk erişimi nasıl elde ettiği belirsizdir, ancak UNC6148 saldırılarını araştıran araştırmacılar, tehdit oyuncunun hedeflenen cihazda zaten yerel yönetici kimlik bilgilerine sahip olduğunu fark ettiler.
“GTIG, UNC6148’in hedeflenen SMA cihazının en son ürün yazılımı sürümüne (10.2.1.15-81sv) güncellenmesinden önce yönetici kimlik bilgilerini çalmak için bilinen bir güvenlik açığından yararlandığını değerlendiriyor” – Google Tehdit İstihbarat Grubu
Ağ trafik meta verilerine bakıldığında, araştırmacılar UNC6148’in Ocak ayında hedeflenen cihazın kimlik bilgilerini çaldığını gösteren kanıtlar buldular.
Birden fazla N-Day güvenlik açıkları (CVE-2021-20038, CVE-2024-38475, CVE-2021-20035, CVE-2021-20039, CVE-2025-32819) bu etkiye, 2021’de ve en sonuncusu 2025 yılından itibaren en son olarak kullanılabilir.
Bunlardan, bilgisayar korsanları CVE-2024-38475’ten yararlanmış olabilir, çünkü “yerel yönetici kimlik bilgileri ve UNC6148’in yeniden kullanılabileceği geçerli oturum belirteçleri” sağlar.
Ancak, Mantiant’ta (bir Google şirketi) olay müdahalecileri, saldırganın güvenlik açığından yararlandığını doğrulayamadı.
Ters kabuklu gizem
Haziran ayında yapılan bir saldırıda, UNC6148, bir SSL-VPN oturumu üzerinden hedeflenen SMA 100 Serisi cihazına bağlanmak için yerel yönetici kimlik bilgilerini kullandı.
Bilgisayar korsanları ters bir kabuk başlattı, ancak kabuk erişimi bu cihazlarda tasarımla mümkün olmamalıdır.
Sonicwall’un ürün güvenliği olay müdahale ekibi (PSIRT) bunun nasıl mümkün olduğunu belirlemeye çalıştı, ancak bir açıklama yapamadı ve bir cevap bilinmeyen bir güvenlik sorununun sömürülmesi olabilir.
Cihaza kabuk erişimi ile tehdit oyuncusu keşif ve dosya manipülasyon faaliyetleri yürüttü ve bilgisayar korsanının IP adreslerine izin vermek için yeni ağ erişim kontrol ilkesi kurallarını içeren ayarları ithal etti.
Rootkit aşırı ipucu bırakmaz
Bundan sonra, UNC6148, Base64’ten ikili kod çözen ve bir .elf dosyası olarak eken bir dizi komut aracılığıyla aşırı step rootkitini kullandı.
“Kurulumu takiben, saldırgan, cihazı yeniden başlatmadan önce sistem günlüklerini manuel olarak temizledi, aşırışlı arka kapıyı etkinleştirdi” – Google Tehdit İstihbarat Grubu
Aşırı adım, ters bir kabuk oluşturan ve ana bilgisayardan şifreler çalan bir arka kapı görevi görür. Ayrıca, bileşenlerini ana bilgisayarda gizli tutmak için kullanıcı modu rootkit özelliklerini uygular.
Rootkit bileşeni, her dinamik yürütülebilir çalıştırıldığında kötü amaçlı kod yükleyerek ve yürüterek tehdit aktörüne uzun vadeli kalıcılık verdi.
Upstep’in forsensik önleyici özelliği, saldırganın günlük girişlerini seçici olarak silmesini ve böylece izlerini kapsayanı sağlar. Bu yetenek ve disk üzerindeki komut geçmişinin eksikliği, tehdit oyuncunun kontromise sonrası faaliyetlerinde araştırmacıların görünürlüğünü reddetti.
Ancak GTIG, aşırı adımın, Persist.db Bilgisayar korsanlarına kimlik bilgilerine, OTP tohumlarına ve kalıcılığa izin veren sertifikalara erişim sağlayan veritabanı ve sertifika dosyaları.
Araştırmacılar UNC6148’in saldırılarının gerçek amacını belirleyemese de, bu tehdit aktörünün aktivitesinde ve uçurumla ilgili fidye yazılımlarının konuşlandırıldığı olayların analizinde “dikkate değer örtüşmeler” olduğunu vurgularlar.
2023’ün sonlarında, Truesec araştırmacıları, bilgisayar korsanlarının bir SMA cihazına bir web kabuğu kullandıktan, mekanizma gizleme ve ürün yazılımı güncellemeleri arasında kalıcılık oluşturduktan sonra meydana gelen bir Abyss Ransowmare olayını araştırdı.
Birkaç ay sonra Mart 2024’te, Infoguard AG olayı yanıtlayıcısı Stephan Berger, aynı Abyss kötü amaçlı yazılımlarının konuşlandırılmasıyla sona eren bir SMA cihazının benzer bir uzlaşmasını açıklayan bir yazı yayınladı.
SMA cihazlarına sahip kuruluşların, rootkitten gelen paraziti önlemesi gereken disk görüntüleri alarak cihazların potansiyel uzlaşma için kontrol edilmesi önerilir.
GTIG, analistlerin cihazın saldırıya uğramış olup olmadığını belirlemek için aramaları gereken işaretlerle birlikte bir dizi uzlaşma göstergesi sağlar.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.