Bir tehdit oyuncusu, en az Ekim 2024’ten bu yana tamamen yamalı ancak ömrü sonu Sonicwall Güvenli Mobil Access 100 cihazını hedefliyor. Rapor Çarşamba günü Google Tehdit İstihbarat Grubu.
UNC6148 olarak izlenen tehdit oyuncusu, cihazlara erişmek için kimlik bilgileri ve bir kerelik password tohumları kullanıyor ve Google araştırmacılarının aşırı adım çağırdığı daha önce bilinmeyen bir arka kapı dağıttı. Kötü amaçlı yazılım, Hacker’ın kalıcı erişimi sürdürmesine, kimlik bilgilerini çalmasına ve bileşenlerini gizlemesine izin veren SMA 100 cihazlarının önyükleme işlemini değiştirir.
Araştırmacılar, bilgisayar korsanının hedeflenen cihazlara aşırı stopping yapmak için sıfır günlük, uzaktan kod yürütme güvenlik açığı kullanmış olabileceğine inanıyorlar.
Google araştırmacıları, hacker’ın son yıllarda tehdit aktörlerinin onları ne sıklıkta hedefledikleri için bu belirli cihazlara aşina olabileceğine inanıyorlar.
“GTIG’nin 2023 yılına dayanan Sonicwall sömürü faaliyetlerini gözlemlediği ve kamuya açıkladığı son UNC6148 faaliyeti arasındaki örtüşmelerde, UNC6148’in Sonicwall Sma 100 Serisi cihazlarına karşı müdahale işlemleri yürütme deneyimi yaşadığından şüpheleniyoruz,” Zander Work, Google araştırma ekibinde üst düzey bir güvenlik mühendisi, Cybersecure ekibinde üst düzey bir güvenlik mühendisi.
Çalışma, “Mantiant’ın son araştırmalarında cihaza karşı kullanılan kötü amaçlı yazılım ve dağıtım tekniklerinin gelişmesi, SMA 100 serisi yazılım ve yeteneklerinin teknik uzmanlığını da öneriyor” diye ekledi.
Bununla birlikte, bu belirgin aşinalık olmasına rağmen, araştırmacılar bu faaliyet ve bilinen tehdit gruplarının geçmiş kampanyaları arasında herhangi bir örtüşme bulamadılar.
Araştırmacılar hala en son faaliyetin kaç kuruluşunun etkilediğini tam olarak bilmiyorlar, çünkü son aylarda açıklanan diğer saldırılar yeni blogda açıklanan etkinlikle örtüşebilir.
Google, Sonicwall ile bulguları konusunda koordine ediyor ve şirket GTIG’ye araştırmayı koordine etme konusunda teşekkür etti.
Bir şirket sözcüsü Cybersecurity Dive’a verdiği demeçte, “Gelişen tehdit manzarasına yanıt olarak-ve şeffaflık ve müşteri korumaya olan bağlılığımızla uyumlu olarak-Sonicwall, SMA 100 için destek sonu tarihini hızlandırmayı planlıyor.” “SMA 100, ürün yaşam döngüsü tablomuza yansıtıldığı gibi, satış sonu durumuna zaten ulaştı ve bu güncelleme uzun vadeli strateji ve endüstri yönümüzle uyumlu.”
Şirket, önümüzdeki haftalarda ayrıntılı hafifletme rehberliğini müşteriler ve ortaklarla paylaşmayı planladığını söyledi.
Araştırmacılar, tehdit aktörlerinin veri çalmaya, fidye yazılımı ve zorla kurbanları dağıtmaya çalışabileceğini söyledi.
Örneğin, bilgisayar korsanı Mayıs ayında bir organizasyonu hedef aldı ve bir ay sonra Google’a göre, Dünya Sızıntıları Veri Sızıntısı Saldırısı hakkında bilgi yayınladı. Ayrıca, yeni açıklanan tehdit kampanyası ile Google’ın vSociety adını verdiği Abyss fidye yazılımının konuşlandırılmasına yol açan önceki Sonicwall sömürüsü arasında da örtüşmeler var.
Araştırmacılar, bilgisayar korsanının ayrıca bilinen birkaç güvenlik açıkından da yararlandığı konusunda uyarıyorlar. CVE-2021-20038yetkili olmayan uzaktan kod yürütülmesine yol açabilecek bir bellek bozulması güvenlik açığı; CVE-2024-38475Apache HTTP sunucusunda SMA 100’ü etkileyen kimliği doğrulanmamış bir yol geçiş güvenlik açığı; CVE-2021-20035SMA 100 arayüzündeki özel elementlerin uygunsuz nötralizasyonunu içeren; CVE-2021-20039SMA 100 yönetim arayüzündeki özel unsurların yanlış nötralizasyonunu da içerir; Ve CVE-2025-32819kimlik doğrulamalı bir dosya silme güvenlik açığı.
Mayıs ayında Rapid7 Birden çok güvenlik açığını açıkladı SMA 100 Serisi Aletler’de ve düzeltmeler geliştirmek için Sonicwall ile birlikte çalıştı.