Bilinmeyen davetsiz misafirler, Google’ın Tehdit İstihbarat Grubu (GTIG) ile analistler, tamamen yamalı yaşam sonu Sonicwall Güvenli Mobil Erişim (SMA) 100 Serisi aletlerini hedefliyor ve yeni, kalıcı bir arka kapı / rootkit kullanıyor.
Analistler, UNC6148’in – tehdit grubunu adlandırdıkları gibi – muhtemelen finansal olarak motive olduğunu söylüyor.
“Mayıs 2025’te UNC6148 tarafından hedeflenen bir kuruluş, Haziran 2025’te ‘Dünya Sızıntıları’ Veri Sızıntısı Sitesine (DLS) gönderildi ve UNC6148 etkinliği, 2023’ün sonlarından ve 2024’ün başından itibaren kamuya açık bir Sonicwall sömürüsüyle örtüşüyor ve bu da Abys-Brited Ransomware’in dağıtımına herkese açık olarak bağlantılı olarak eklenmedi).
Sonicwall aletleri kötü amaçlı yazılımlarla eyerlendi
Bu son kampanyada, UNC6148, uzlaşmış yerel yönetici kimlik bilgilerini ve muhtemelen bilinmeyen bir sıfır gün uzaktan kod yürütme güvenlik açığını aştı.
Google’ın araştırmacıları, saldırganların saldırıda kullandıkları yönetici kimlik bilgilerini nasıl almayı başardıklarını belirleyemediler. GTIG uzmanları, bunları Infostealer günlüklerinden veya kimlik bilgisi pazarlarından tedarik ettikleri, ancak hedeflenen SMA cihazının en son ürün yazılımı sürümüne güncellenmesinden önce bilinen bir güvenlik açığından yararlanmaları daha olasıdır.
(Saldırının bu kısmı için hangi spesifik güvenlik açığının kullanıldığı şu anda bilinmemektedir, ancak bazıları muhtemelen kullanılmış olarak belirtilmiştir: CVE-2021-20035, CVE-2021-20039, CVE-2024-38475 veya CVE-2025-32819.)
Saldırganlar, Ocak 2025’te kimlik bilgilerini geri çekti ve Haziran 2025’te hedeflenen SMA cihazına bir SSL VPN oturumu oluşturmak için kullandı, daha sonra bir ters kabuk ortaya çıkardı – cihazların nasıl tasarlandığı nedeniyle imkansız kabul edilen bir şey.
Google’ın olay müdahale kolu Madiant ve Sonicwall Ürün Güvenliği Olay Yanıt Ekibi (PSIRT), saldırganların bu ters kabuğu nasıl kurduğunu hala bilmiyor ve bilinmeyen bir güvenlik açığından yararlanarak eylemin mümkün olduğunu ortaya koyuyor.
Ters kabuktan, tehdit aktörleri:
- Keşif yaptı
- Gerçekleştirilen dosya manipülasyonu
- SMA cihazından dışa aktarılan ayarlar, (görünüşe göre) kesintisiz operasyonları sağlamak için altyapıları için yeni kurallar ekleyecek şekilde değiştirdi ve bunları SMA cihazına ithal etti.
- Aşınma arka kapısını konuşlandırdı
- Bir dosyayı gizleyerek ve sistemdeki başka bir meşru dosyayı değiştirerek arka kapının kalıcılığından emin olun
“Aşırı adım atılması tamamlandıktan sonra, tehdit oyuncusu sistem günlüklerini temizledi ve aşırı adımın yürütülmesini tetiklemek için güvenlik duvarını yeniden başlattı. Değişiklikler [made] Cihaz ne zaman yeniden başlatıldığında, abartılı ikili olarak cihazdaki çalışan dosya sistemine yükleneceği anlamına geliyordu ”dedi.
Sonicwall cihazlarınızdan ödün verildi mi?
Aşırı Arka Kapı:
- Kaçırma Standart API işlevleri
- Ters bir kabuk oluşturur
- Şifreleri tehlikeye atılan ana bilgisayardan püskürter
- UserMode rootkkit özelliklerini ve varlığını ve bileşenlerini gizlemek için günlük dosyalarından seçilen girişleri silme girişimlerini uygular.
- Web isteklerine gömülü komutlar alır
Kötü amaçlı yazılım yetenekleri, saldırganların cihazdan ödün verdikten sonra sistemde yaptıklarını (herhangi bir şey varsa) gizlemelerine izin verdi.
“Birincil risk, hassas dosyaları çalma işlevselliğinden kaynaklanıyor. Persist.db veritabanı ve sertifika dosyaları /etc/easyAccess/var/cert Dizin saldırgan kimlik bilgileri, OTP tohumu ve sertifikalar verir. Bu çalınan verilerin silahlanmasını doğrudan gözlemlemese de, kalıcı erişim için net bir yol yaratıyor ”dedi.
Bu campaing ile ilgili ana bilgisayar ve ağ tabanlı uzlaşma göstergelerini (IOCS) paylaştılar ve savunucuları, uzlaşma belirtileri için disk görüntülerini ve periferik günlük kaynaklarını analiz etmeye çağırdı.
“Uzlaşma kanıtı tespit edilirse, kuruluşlar tehdidi içermek için anında adımlar atmalıdır” diye belirttiler ve cihaz (lar) ı izole etmeyi, tam adli bir araştırma için disk görüntülerini ve telemetriyi korumayı tavsiye ettiler ve gerekirse olay müdahalelerini soruşturmaya yardımcı olmak için çağırıyorlar.
Son olarak, cihazda depolanan özel anahtarlarla tüm kullanıcı kimlik bilgilerini ve sertifikalarını tehlikeye atmalı ve bunları yeniden oluşturmalı / iptal etmeli / yeniden yayınlamalıdır.
Sonicwall Yorumları
“Sonicwall, Google Tehdit İstihbarat Grubu’nun (GTIG) SMA 100 Serisi cihazlarını hedefleyen aktif bir kampanya tanımlayan son raporunun farkındadır. Bu süreç boyunca GTIG ile yakın bir şekilde çalışıyoruz ve sorumlu açıklamalarını takdir ediyoruz ve müşterileri ve daha geniş güvenlik topluluğunu korumaya devam eden ortaklıklarını takdir ediyoruz.
“Gelişen tehdit manzarasına yanıt olarak-ve şeffaflık ve müşteri korumaya olan bağlılığımızla uyumlu olarak-SMA 100 serisi için destek sonu tarihini 1 Ekim 2027’den 31 Aralık 2025’e kadar hızlandıracak. SMA 100, ürün yaşamı tablonuza ve bu güncelleme ile ilgili olarak, bu güncelleme stratejimizle birlikte, bu güncelleme stratejimizle zaten satış sonu durumuna ulaştı ve”
Ayrıca Sonicwall’un müşterileri aktif olarak daha modern, güvenli çözümlere (örneğin Cloud Secure Edge Service ve SMA 1000 serisi) yönlendirdiğini ve Sonicwall’un Zero Trust Solutions’a ayrıntılı geçiş rehberliğinin önümüzdeki haftalarda müşteriler ve ortaklarla paylaşılacağını belirttiler.
“Tüm müşterilerin henüz geçiş yapmadığını anlıyoruz ve mevcut SMA 100 dağıtımlarını kalan yaşam döngüsü boyunca ürün yazılımı güncellemeleri ile desteklemeye kararlıyız. Bu güncellemeler risk azaltmaya ve kullanıcı tabanımızın devam eden korumasına öncelik verdiğimizde daha sık hale gelebilir” diye ekliyor.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!