Dolandırıcılık Yönetimi ve Siber Suç, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Fidye Yazılımı
Akira fidye yazılımı, MFA korumalı Sonicwall SSL VPN’leri sömürdü, araştırmacılar
Mathew J. Schwartz (Euroinfosec) •
5 Ağustos 2025
Fidye yazılımı kullanan saldırganlar, potansiyel olarak sıfır günlük bir güvenlik açığından yararlanarak, birden fazla Sonicwall cihazından aktif olarak yararlanıyor.
Ayrıca bakınız: En son Geter ATT & CK değerlendirmeleri için tam kılavuz
Kaliforniya, Milpitas sözcüsü, Information Security Media Group’a verdiği demeçte, “Sonicwall, SSL VPN etkinleştirilmiş çeşitli ürün yazılımı sürümlerini çalıştıran bir dizi Gen 7 güvenlik duvarını içeren bildirilen siber olaylarda son zamanlarda yapılan bir artışı araştırıyor.”
Pazartesi günü yayınlanan bir güvenlik uyarısı, çok faktörlü kimlik doğrulama savunmaları etkin olsa bile başarılı görünen Gen 7 güvenlik duvarlarına yönelik saldırılarda bir artış gören birden fazla siber güvenlik firmasının topuklarına geldi. Bu saldırıların en azından bir kısmı kurbanların Akira fidye yazılımı ile enfekte olmasına neden oldu.
Sonicwall sözcüsü, şirketin dış siber güvenlik firmalarıyla birlikte çalıştığını söyledi. “Yeni bir güvenlik açığı onaylanırsa, güncellenmiş ürün yazılımı ve rehberliği olabildiğince çabuk yayınlayacağız.”
Birden fazla araştırmacı sıfır gün şüpheleniyor. Huntress, Pazartesi günü bir blog yazısında, “Bu saldırıların hızı ve başarısı – MFA özellikli ortamlara karşı bile – vahşi doğada sıfır günlük bir güvenlik açığının kullanıldığını şiddetle tavsiye ediyor.” Dedi.
Huntress, uzlaşmanın SSL VPN etkinleştirilmiş TZ ve NSA Serisi Sonicwall güvenlik duvarlarıyla sınırlı olabileceğine dair kanıtları olduğunu söyledi. “Şüpheli güvenlik açığının 7.2.0-7015 ve önceki ürün yazılımı sürümlerinde var olduğunu doğrulayabiliriz.” Sonicwall, en son 7.2 sürümü olan Sonicos ürün yazılımı 7.2.0-7015 sürümünü yayınladı.
Arctic Wolf, Cuma uyarısında, bu saldırıların en eski işaretlerinin en az 15 Temmuz’a kadar uzandığını, ancak biraz daha sonra ortaya çıkmalarını söyledi. MFA etkinleştirilse bile, her biri Sonicwall SSL VPN’leri aracılığıyla VPN erişimini içeren kısa bir süre içinde “çoklu ön-ön-yazılım müdahaleleri” gördüğünü söyledi.
Artic Wolf, bilgisayar korsanlarının kaba kuvvet veya kimlik bilgisi doldurma saldırıları yapma olasılığını atamayacağını söyledi. Ancak “mevcut kanıtlar sıfır günlük bir kırılganlığın varlığına işaret ediyor.” Sonicwall’un Gen 7 güvenlik duvarlarına karşı yapılan bu saldırı, sıfır gün güvenlik açığı içeriyorsa, bu yıl Sonicwall VPN’lerinde ortaya çıkan ikinci kusur olacaktır.
Sıfır gün teorisini desteklemek, saldırganların yakın zamanda kimlik bilgilerinin döndürüldüğü Sonicwall cihazlarına nüfuz etmesidir, yani bilgisayar korsanları daha önce bir şekilde kimlik bilgileri alsaydı, geçerli olmayacaktır.
Huntress, 25 Temmuz’dan bu yana savunmasız cihazları hedefleyen yaklaşık 20 farklı saldırı gördüğünü ve birçoğunun benzerlikleri olduğunu söyledi. Diyerek şöyle devam etti: “Bu saldırganların bazılarının en azından aynı oyun kitabının bir kısmına sahip oldukları veya karşılaştıkları durumlara uyum sağladıkları açıktır.”
Saldırganlar genellikle hızla ayrıcalıklı hesapları devralır, bir arka kapı yükler, ağ üzerinde yanal olarak hareket ettirir ve çevrimdışı çatlama da dahil olmak üzere kimlik bilgilerini hasat eder ve güvenlik araçlarını devre dışı bırakır. Son adım fidye yazılımını dağıtmaktır. Huntress’in izlediği durumlarda, kripto dolu kötü amaçlı yazılım, Hizmet Olarak Akira Ransomware operasyonu tarafından oluşturuldu. Arctic Wolf da aynı şekilde Akira kullanan saldırganların cihazlardan yararlandığını söyledi.
Akira, büyük bir fidye yazılımı operasyonudur ve Cisco ve diğer VPN sunucuları da dahil olmak üzere kritik altyapı kuruluşlarının dışa bakan hizmetleri hedefleme ve kötü güvenli uzak masaüstü protokolünü kullanma, çalıntı kimlik bilgilerini ve kimlik avı saldırılarını kötüye kullanma geçmişine sahiptir.
Saldırganlar Edge Cihazları Arıyor
Güvenlik uzmanları, bir fidye yazılım grubunun Edge cihazlarını yeni yollarla kullanma yeteneğinin, yasadışı iş başarılarının bir yan ürünü olduğunu söyledi.
İngiliz siber güvenlik uzmanı Mastodon’a yaptığı bir yazıda, “Fidye yazılımı gruplarının ulus devletlerinden daha iyi teknik sömürü kabiliyetine sahip olduğu bir evrim olmaya devam ediyor, çünkü kurbanlar onlara yüz milyonlarca dolarlık Ar -Ge bütçeleri veriyor.” Dedi.
Beaumont, Akira kurbanlarında da dalgalanmayı izlediğini söyledi.
Kenar cihazları – ve kurumsal ortamlara sağladıkları ilk erişim – siber suçlular ve ulus devlet bilgisayar korsanları için en iyi hedeftir. Bu saldırı dalgasından önce bile, Sonicwall donanımı bir istisna değildi (bakınız: Bilgisayar korsanları, Sonicwall cihazından veri çalmak için arka kapı kullanıyor).
Sadece günler önce şirket, “bu aletlerin fiziksel ve sanal versiyonlarındaki güvenlik açıklarını, görünüşte farklı bir saldırı dalgasında aktif olarak hedefleyen saldırganların ardından” sonicwall SMA 100 serisi aletlerindeki rootkitleri ve diğer kritik güvenlik açıklarını ele almak için acil bir danışmanlık “yayınladı.
Araştırmacılar, saldırganların ilk erişimi nasıl kazandıklarını söylese de, Google Tehdit İstihbarat Grubu’ndaki araştırmacılar, saldırganların Sonicwall Secure Mobile Access 100 Serisi cihazlarından aktif olarak yararlandığını gördüğünde, saldırılar ortaya çıktı.
Çarşamba günü, Google’ın Tehdit İstihbarat Grubu, UNC6148 olarak izlediği, tamamen yamalı ama son Sonicwall SMA 100 Serisi aletlerini daha önce çaldıkları tamamen yamalı ama hayat sonu Sonicwall Sma 100 Serisi aletleri olarak izlediği finansal olarak motive olmuş bir tehdit oyuncusu gibi görünen saldırıları izlemek için bir araya geldiği uzlaşma göstergelerini güncelledi (bakınız: Bilgisayar korsanları, Sonicwall cihazından veri çalmak için arka kapı kullanıyor).
Araştırmacılar, saldırganların yama geçişi ve oturum hackleme için CVE-2024-38475’ten yararlandığını söyledi. Sonicwall ilk olarak Aralık 2024’te güncellenmiş ürün yazılımı yayınlayarak kusuru yamaladı ve daha sonra yeni sömürü teknikleri ortaya çıktıkça güncellenmiş tavsiyeler yayınladı.
Sonicwall, kusurdan yararlanan saldırganların “kalıcı ve gizli bir kullanıcı modu rootkit” kod adlı aşırma ve “daha önce çalınan yönetici kimlik bilgilerini ve OTP sırlarını” kullandıklarını ve “daha önce çalınan yönetici kimlik bilgilerini ve OTP sırlarını” kullanıyorlardı. Özellikleri arasında, abartılı kimlik bilgilerini ve bir kerelik şifre sırlarını çalma yeteneğini içerir.
İlk erişim elde etmek için UNC6148 “, fırsatçı hedeflenen Sonicwall SMA cihazlarına aşırı yüklenmek için bilinmeyen bir sıfır gün uzaktan kumanda yürütme güvenlik açığı kullanmış olabilir.” Dedi.
Sonicwall, müşterileri yamalı ürün yazılımına güncellemeye ve birden fazla sertleştirme önlemini etkinleştirmeye çağırdı. Kuruluşlar cihazlarının abartıyla tehlikeye atıldığından şüpheleniyorsa, Sonicwall etkilenen sistemi yeniden inşa etmeleri gerektiğini söyledi, çünkü rootkit’in tam kaldırılmasını sağlamanın tek yolu bu. Firmalar ayrıca tüm kullanıcılar için bir kerelik şifre uygulama bağlamalarını sıfırlamak zorunda kalacaklardır – yani bir sonraki giriş yaptıklarında Google Authenticator gibi “mobil kimlik doğrulayıcı uygulamalarını yeniden bağlamak” gerekir – böylece saldırganlar çalınan OTP’leri yeniden kullanamazlar.
Sonicwall SSL VPN SMA 100 Serisi aletlerine yapılan bu saldırıların, Sonicwall’un Gen 7 güvenlik duvarlarında hedeflenen potansiyel bir sıfır günlük güvenlik açığıyla herhangi bir şekilde ilişkili olup olmadığı belirsizdir.