Tam ömür sonu Sonicwall Güvenli Mobil Erişim (SMA) 100 Serisi cihazları hedefleyen bir tehdit etkinliği kümesi gözlenmiştir. AŞMAK.
En az Ekim 2024’e kadar uzanan kötü niyetli etkinlik, Google Tehdit İstihbarat Grubu (GTIG) tarafından izlediği bir gruba atfedildi. UNC6148.
Teknoloji devi, tehdit oyuncusunun “önceki müdahaleler sırasında çalınan kimlik bilgilerini ve bir kerelik şifre (OTP) tohumlarından yararlandığına ve kuruluşların güvenlik güncellemeleri uyguladıktan sonra bile erişimi geri kazanmalarına” dair yüksek bir güvenle değerlendirildi.
“Ağ Trafiği Meta Veri Kayıtlarının Analizi, UNC6148’in bu kimlik bilgilerini Ocak 2025’e kadar SMA cihazından başlangıçta açıklamış olabileceğini gösteriyor.”
Kötü amaçlı yazılımları teslim etmek için kullanılan tam başlangıç erişim vektörü, tehdit aktörlerinin günlük girişlerini kaldırması için atılan adımlar nedeniyle bilinmemektedir. Ancak, CVE-2021-20035, CVE-2021-20038, CVE-2021-20039, CVE-2024-38475 veya CVE-2015-32819 gibi bilinen güvenlik kusurlarının kullanımı yoluyla erişimin kazanılmış olabileceğine inanılmaktadır.
Alternatif olarak, teknoloji devinin tehdit istihbarat ekibi, yönetici kimlik bilgilerinin bilgi çalma günlükleri aracılığıyla elde edilebileceğini veya kimlik bilgisi pazarlarından edinilebileceğini teorize etti. Ancak, bu hipotezi destekleyecek herhangi bir kanıt bulamadığını söyledi.
Erişim kazandıktan sonra, tehdit aktörlerinin bir SSL-VPN oturumu kurdukları ve ters bir kabuk oluşturdukları bulunmuştur, ancak bunun nasıl elde edildiği, bu cihazlarda tasarımla kabuk erişiminin mümkün olmaması gerektiği göz önüne alındığında bir gizem olmaya devam etmektedir. Sıfır günlük bir kusurla çekilmiş olabileceğine inanılıyor.
Ters kabuk, keşif ve dosya manipülasyon komutlarını çalıştırmak için kullanılır, dışa aktarma ve ayarlardan bahsetmemek için kullanılır, UNC6148’in dışa aktarılan ayarlar dosyasını çevrimdışı olarak değiştirmiş olabileceğini düşündürür, böylece işlemlerinin erişim geçitleri tarafından kesintiye uğraması veya engellenmemesi için yeni kurallar dahildir.
Saldırılar, kalıcı erişimi korumak için cihazın önyükleme sürecini değiştirebilen daha önce belgelenmemiş bir implantın konuşlandırılmasıyla sonuçlanır.
Bu, kaçırılan standart kütüphane işlevleri açık ve okuma yoluyla bir UserMod rootkit uygulanarak, saldırı ile ilişkili artefaktları gizlemesine izin vererek elde edilir. Kötü amaçlı yazılım ayrıca, Web isteklerine gömülü bir saldırgan kontrollü sunucudan komut almak için Write API işlevine bağlanır –
- Dobackshellbelirtilen IP adresine ve bağlantı noktasına ters bir kabuk başlatan
- dopasswords/tmp/temp.db, /etc/easyaccess/var/conf/persist.db ve/etc/easyAccess/var/cert dosyalarının bir kat arşivini oluşturan ve bunu konumda kaydeden “/www/htdocs/”
GTIG, “UNC6148, aşırı adım için kalıcılık elde etmek için ‘/etc/rc.d/rc.fwboot’ meşru RC dosyasını değiştirdi.” Dedi. Diyerek şöyle devam etti: “Değişiklikler, cihaz yeniden başlatıldığında, abartılı ikili, cihazdaki çalışan dosya sistemine yükleneceği anlamına geliyordu.”
Dağıtım adımı tamamlandıktan sonra, tehdit oyuncusu sistem günlüklerini temizlemeye devam eder ve C tabanlı arka kapının yürütülmesini etkinleştirmek için güvenlik duvarını yeniden başlatır. Kötü amaçlı yazılım ayrıca httpd.log, http_request.log ve inotify.log dahil olmak üzere farklı günlük dosyalarından komut yürütme izlerini kaldırmaya çalışır.
“Aktörün pistlerini gizleme başarısı büyük ölçüde, büyük ölçüde Log girişlerini seçici olarak silme yeteneğinden kaynaklanmaktadır. [from the three log files]”Google dedi.” Diskteki kabuk geçmişi eksikliği ile birleştiğinde, bu forensik önlem, aktörün ikincil hedeflerine görünürlüğü önemli ölçüde azaltır. “
Google, UNC6148’in, hedeflenen Sonicwall SMA cihazlarında aşırı adım atmak için bilinmeyen, sıfır gün uzaktan kumanda yürütme kırılganlığını silahlandırmış olabileceğini değerlendirmiştir. Ayrıca, operasyonların veri hırsızlığı ve gasp operasyonlarını ve hatta fidye yazılımı dağıtımını kolaylaştırmak amacıyla gerçekleştirildiğinden şüpheleniliyor.
Bu bağlantı, UNC6148 tarafından hedeflenen kuruluşlardan birinin, Hunters International Ransomware programıyla daha önce ilişkili bireyler tarafından işletilen bir gasp çetesi olan World Leaks tarafından işletilen veri sızıntısı sitesinde yayınlandığı gerçeğinden kaynaklanmaktadır. Hunters International’ın yakın zamanda suç girişimini kapattığını belirtmek gerekir.
Google’a göre, UNC6148, Temmuz 2023’te bir web kabuğu, bir saklama mekanizması ve truesec başına ürün yazılımı yükseltmeleri arasında kalıcılığı sağlayan bilinmeyen bir tehdit oyuncusu içeren Sonicwall SMA cihazlarının daha önce kullanılmasıyla taktik örtüşmeler sergiliyor.
Sömürü faaliyeti daha sonra güvenlik araştırmacısı Stephan Berger tarafından Abyss fidye yazılımlarının konuşlandırılmasına bağlandı.
Bulgular, tehdit aktörlerinin genellikle uç nokta algılama ve yanıtı (EDR) veya antivirüs yazılımı gibi ortak güvenlik araçları kapsamında olmayan ve fark edilmeden hedef ağlara kaydırılmayan kenar ağ sistemlerine nasıl odaklandıklarını bir kez daha vurgulamaktadır.
Google, “Kuruluşlar, rootkit anti-forensik yeteneklerden etkileşimi önlemek için adli analiz için disk görüntüleri almalıdır. Kuruluşların fiziksel cihazlardan disk görüntülerini yakalamak için Sonicwall ile etkileşime geçmesi gerekebilir.” Dedi.