
Sonicwall’un Güvenli Mobil Erişim (SMA) VPN’lerinde ve güvenlik duvarı cihazlarındaki muhtemel bir sıfır günlük güvenlik açığı, vahşi doğada aktif olarak sömürülüyor ve saldırganların ilk ihlalin saatleri içinde çok faktörlü kimlik doğrulama (MFA) ve fidye yazılımlarını atlamalarını sağlıyor.
Huntress, Arctic Wolf ve Sophos da dahil olmak üzere güvenlik firmaları, bu cihazları hedefleyen ve bunlara dayanan kuruluşlar için kritik ve sürekli bir tehdit gösteren yüksek şiddetli olaylarda yakın zamanda yapılan bir artış olduğunu bildirdiler.
Saldırılar, Sonicwall cihazının kendisinin ihlali ile başlayarak hızlı ve tutarlı bir oyun kitabını takip ediyor. Temmuz 2025’in sonlarından bu yana bu olayların bir dalgasına yanıt veren Huntress’teki güvenlik araştırmacıları, MFA olan ortamlara karşı bile saldırıların hızının ve başarısının, mutlak bir şekilde kırılmamış bir kırılganlığa işaret ettiğini bildiriyor.

Tehdit aktörleri ilk dayanak kazandıktan sonra, tüm ağı tehlikeye atmak için hızla hareket ederler. Saldırganlar, yönetici erişim elde etmek için LDAP veya Sonicwall cihazı tarafından kullanılan idari hesaplar gibi aşırı ayrı hizmet hesaplarından hemen yararlandılar.
Kalıcı erişim sağlamak için, Cloudfluared tünelleri ve openssh gibi araçları dağıtarak, tehlikeye atılan ağa etkili bir şekilde bir arka kapı oluştururlar.
Yüksek ayrıcalıklarla, saldırganlar yanal olarak hareket etmek için otomatik komut dosyaları ve uygulamalı tekniklerin bir karışımıyla ilerler. Ağda gezinmek için WMI ve PowerShell kullanılarak, Veeam yedek veritabanlarından kimlik bilgilerini dökmek ve çevrimdışı şifre çatlaması için Active Directory veritabanını (ntds.dit) ekspiltrat kullanarak görülmüştür.
Son yükü dağıtmadan önce, saldırganlar güvenlik savunmalarını metodik olarak söker. Microsoft Defender’ı devre dışı bırakmak ve kendi uzaktan erişimlerine izin vermek için güvenlik duvarı kurallarını değiştirmek için yerleşik Windows araçlarını kullanırlar.
Son aşama, kolay sistem geri kazanımını önlemek için hacim gölge kopyalarının silinmesini ve bunu hemen Akira fidye yazılımı olarak tanımlananların dağıtılmasını içerir.
Tradecraft saldırılar arasında değişir, bu da birden fazla tehdit aktörünün farklı araç setleriyle aynı güvenlik açığından yararlanabileceğini düşündürmektedir.
Gözlemlenen yöntemler arasında, arazi ikili ikili (lolbins) ve özel komut dosyalarının yanı sıra keşif ve veri evrelemesi için gelişmiş IP tarayıcı ve winrar gibi meşru araçların kullanılması yer alır. Saldırganlar ayrıca ağdaki varlıklarını korumak için yeni kullanıcı hesapları oluşturarak yakalandı.
Bu aktif tehdide yanıt olarak, güvenlik uzmanları acil önerilerde bulunuyor. Huntress, kuruluşlara resmi bir yama serbest bırakılıncaya kadar hemen Sonicwall SSL VPN erişimini devre dışı bırakmalarını şiddetle tavsiye eder.
VPN’yi devre dışı bırakmak iş operasyonları için mümkün değilse, erişim bilinen, güvenilir IP adreslerinin bir beyaz listesi ile ciddi şekilde sınırlandırılmalıdır.
Ayrıca, hizmet hesaplarını denetlemek ve tehlikeye atılan yüksek hesaplar saldırı zincirinin önemli bir unsuru olduğundan, en az ayrıcalık ilkesi altında çalıştıklarından emin olmak önemlidir. Kuruluşlar ayrıca, herhangi bir ihlal belirtisini tespit etmek için ortamlarında yayınlanan uzlaşma göstergelerini (IOC’ler) avlamaya istenir.
Gösterge Türü | Açıklama veya örnek |
---|---|
Saldırgan IP Adresleri | 42.252.99[.]59 45.86.208[.]240 77.247.126[.]239 104.238.205[.]105 104.238.220[.]216 181.215.182[.]64 193.163.194[.]7 193.239.236[.]149 194.33.45[.]155 |
Kötü niyetli yürütülebilir ürünler | W.EXE (Akira Ransomware) win.exe (fidye yazılımı) C: \ Programmdata \ winrar.exe (winrar) C: \ ProgramData \ Openssha.msi (Openssh yükleyici) C: \ Program Files \ Openssh \ sshd.exe (ssh exfil) C: \ ProgramData \ SSH \ CloudFlared.exe (Cloudflare Tüneli) C: \ Program Files \ Filezilla FTP istemcisi \ fzsftp.exe (Filezilla FTP) C: \ ProgramData \ 1.bat (Bilinmeyen Script) C: \ ProgramData \ 2.bat (Bilinmeyen senaryo) |
Hash (SHA-256) | d080f553c9b1276317441894ec6861573fa64fb1fae46165a55302e782b1614d (w.exe) |
ASN/CIDR Altyapı | AS24863-Link-Net-45.242.96.0/22 AS62240 – Clouvider – 45.86.208.0/22 AS62240 – Clouvider – 77.247.126.0/24 AS23470 – Reliablesite LLC – 104.238.204.0/22 AS23470 – Reliablesite LLC – 104.238.220.0/22 AS174-Cogent-174-181.215.182.0/24 AS62240 – Clouvider – 193.163.194.0/24 AS62240 – Clouvider – 193.239.236.0/23 AS62240 – Clouvider – 194.33.45.0/24 |
Oluşturulan Kullanıcı Hesapları | Backupsql Lockdadmin |
Kullanılan şifreler | Şifre123 $ MSNC? 42da VRT83G $%Bu |
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches