Google’ın Tehdit İstihbarat Grubu (GTIG), tehdit aktörlerinin daha önce çalınan kimlik bilgilerini kullandığı ve Overstep adlı yeni bir rootkit dağıttığı yaşam sonu Sonicwall Güvenli Mobil Erişim (SMA) 100 Serisi cihazlarını hedefleyen sofistike bir siber saldırı kampanyası ortaya çıkardı.
UNC6148 olarak izlenen finansal olarak motive olmuş grup, en az Ekim 2024’ten beri faaliyet göstermektedir ve tamamen yamalı sistemlere kalıcı erişimi sağlamak için bilinmeyen bir sıfır günlük uzaktan kod yürütme kırılganlığından yararlanmaktan şüphelenilmektedir.
Tehdit aktörleri, kuruluşlar en son güvenlik güncellemelerini uyguladıktan sonra bile cihazlardan başarılı bir şekilde ödün verdiği için kampanya, ağ altyapı cihazlarına yönelik saldırılarda önemli bir yükselmeyi temsil ediyor.
GTIG, UNC6148’in önceki müdahaleler sırasında çalınan kimlik bilgilerini ve bir kerelik şifre (OTP) tohumlarını yeniden kullandığını ve geleneksel yama döngülerinin ötesine uzanan kalıcı bir tehdit oluşturduğuna dair yüksek güvenle değerlendiriyor.
Kanıtlar, grubun fidye yazılımı operasyonlarına bağlanabileceğini, hedeflenen bir kuruluşun Haziran 2025’te “Dünya Sızıntıları” veri sızıntısı sitesinde göründüğünü ve daha önce bildirilen Abyss markalı fidye yazılımı dağıtımı ile bağlantılı Sonicwall sömürü kampanyalarıyla tanımlanan örtüşmeler olduğunu gösteriyor.
Gelişmiş rootkit dağıtım
Aşırı etkilenen yazılım, ağ cihaz hedeflemesinde, Sonicwall SMA cihazları için özel olarak tasarlanmış hem arka kapı hem de kullanıcı modu rootkit olarak işlev gören sofistike bir evrimi temsil eder.
Kötü amaçlı yazılım, initrd görüntüsüne enjekte ederek ve yeniden başlatmalarda kalıcılığı sağlamak için /etc/ld.so.preload mekanizmasını kaldırarak cihazın önyükleme işlemini değiştirir.
Bu teknik, sistem çağrılarını, tehlikeye atılan cihazda çalışan tüm işlemlerden kesmesine izin verir, etkili bir şekilde kimlik bilgilerini çalabilen, ters kabuklar oluşturabilecek ve kendi bileşenlerini sistem yöneticilerinden gizleyebilen görünmez bir varlık yaratır.
RootKit’in birincil işlevselliği, Open, Readdir ve yazma işlemleri dahil olmak üzere standart kütüphane işlevlerini ele geçirmeye odaklanır.
Etkinleştirildiğinde, Aşırı STEP, “Dobackshell” veya “Dopasswords” gibi belirli dizeler içeren Web istekleri aracılığıyla komut alabilir ve bu da ters kabuk kuruluşunu veya kimlik bilgisi hırsızlık operasyonlarını tetikler.
Kötü amaçlı yazılım, şifre sıfırladıktan sonra bile sürekli erişimi sağlayan kullanıcı kimlik bilgileri, oturum jetonları ve OTP tohum değerleri içeren temp.db ve persist.db dahil kritik veritabanlarını hedefler.
Ek olarak, Aşınma, httpd.log, http_request.log ve inotify.log dosyalarından günlük girişlerini seçici olarak kaldırarak, olay müdahale çabalarını önemli ölçüde engelleyerek sofistike anti-forensik yetenekleri uygular.
Kritik güvenlik sonuçları
UNC6148’in operasyonlarının keşfi, Sonicwall ekosistemindeki çeşitli kritik güvenlik açıklarını vurgulamaktadır, bu da, yetkisiz saldırganların yol travers saldırıları yoluyla hassas veri tabanı dosyalarını yaymalarına izin veren CVE-2024-38475 de dahil olmak üzere bilinen birden fazla CVE’nin sömürülmesine işaret etmektedir.
Bununla birlikte, aşınma için bilinmeyen bir sıfır günlük güvenlik açığının şüpheli kullanılması, geleneksel güvenlik açığı yönetimi yaklaşımlarının bu tehdit aktörüne karşı yetersiz olabileceğini düşündürmektedir.
Sonicwall SMA aletlerini kullanan kuruluşlar, çalınan kimlik bilgileri, ürün yazılımı güncellemelerinden bağımsız olarak kalıcı erişim sağlayabileceğinden, yamalar uyguladıktan sonra bile derhal recompromise riski ile karşı karşıyadır.
GTIG, SMA cihazlarına sahip tüm kuruluşların, canlı sistem incelemesi yerine disk görüntüleri kullanarak kapsamlı adli analiz yapmasını şiddetle tavsiye eder, çünkü Up Step’in kök skit yetenekleri, standart algılama yöntemlerinden uzlaşma kanıtlarını gizleyebilir.
Kritik azaltma adımları, tüm kullanıcılar için şifreler ve OTP bağlamaları dahil tüm kimlik bilgilerini derhal olarak döndürmeyi, aletlerde depolanan özel anahtarlarla sertifikaları iptal etme ve yeniden yayınlama ve harici IP adreslerinden şüpheli VPN oturumları için gelişmiş izleme uygulama içerir.
Kampanyanın genişletilmiş zaman çizelgesi, fidye yazılımı dağıtımından aylar önce meydana gelen bazı müdahalelerle, proaktif tehdit avının önemini ve etkilenen ortamlarda hareketsiz uzlaşma potansiyelini vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge | Tanım |
|---|---|---|
| Dosya karma | B28D57269Fe4cd90d1650bde5e905611de26d211966262e59359d0d0a67d473 | Kötü amaçlı yazılım ikili |
| Dosya Yolu | /cf/xxx.elf, /cf/libsamba-errors.so.6, /usr/lib/libsamam-errors.so.6 | Kurulum konumlarını aşmak |
| Dosya karma | F0E0DB06CA665907770E2202957D3ECCD5A070ACAC1DEBAF0889D0D48C10E149 | Değiştirilmiş rc.fwboot dosyası |
| IP adresi | 193.149.180.50 | VPN Oturum Kaynağı (Bitlaunch VPS) |
| IP adresi | 64.52.80.80 | Ters Kabuk Komutu ve Kontrol Sunucusu |
| Dosya Yolu | /etc/ld.so.preload | Kalıcılık mekanizması dosyası |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now