Siber Güvenlik

SonicWall SMA 100 Serisi Aygıtlarındaki UNC6148 Arka Kapılar Tamamen Yamanmış.

teknomers
teknomers

SonicWall SMA Saldırıları: OVERSTEP Malwarenin Yükselişi

Son dönemde, SonicWall Secure Mobile Access (SMA) 100 serisine yönelik artan bir tehdit faaliyeti gözlemlenmiştir. Bu saldırıların amacı, OVERSTEP adında bir arka kapı yazılımını sistemlere yerleştirmektir. Google Tehdit İstihbarat Grubu (GTIG), bu kötü niyetli etkinliğin arkasındaki grubun UNC6148 olarak adlandırıldığını belirlemiştir. Saldırılar, en azından Ekim 2024’e kadar uzanmaktadır ve siber güvenlik açısından önemli bir tehdit oluşturmaktadır.

Contents

Credential Sızıntıları ve Erişim Yöntemleri

GTIG’nin değerlendirmelerine göre, tehdit aktörleri, önceki saldırılarda çalınan kimlik bilgilerini ve tek seferlik şifre (OTP) tohumlarını kullanarak, güncellemeler uygulanmış olsa bile yeniden erişim sağlamaktadır. Ağ trafiği analizi, UNC6148’in bu kimlik bilgilerini SMA cihazından en erken Ocak 2025‘te dışarı aktarmış olabileceğini göstermektedir.

Saldırının başlangıç ​​noktası tam olarak bilinmemekle birlikte, tehdidi oluşturanların log kayıtlarını silme girişimleri nedeniyle erişim yolu tespit edilememiştir. Ancak, bilinen güvenlik açıklarının, örneğin CVE-2021-20035, CVE-2021-20038 ve CVE-2024-38475 gibi, bu duruma yol açmış olabileceği düşünülmektedir. Alternatif olarak, tehdit aktörleri, yönetici kimlik bilgilerini bilgi hırsızı logları ya da kimlik bilgisi pazarlarından almış olabilir.

SSL-VPN Oturumları ve Reverse Shell Kurulumu

Erişim sağlandıktan sonra, UNC6148’in bir SSL-VPN oturumu kurduğu ve bir reverse shell oluşturduğu saptanmıştır. Bu durum, cihazların teknik tasarımı gereği shell erişiminin mümkün olmaması nedeniyle merak uyandırmaktadır. Tehdit aktörlerinin, bir zero-day açığı kullanarak bu durumu gerçekleştirmiş olabileceği düşünülmektedir.

Reverse shell, keşif ve dosya manipülasyonu komutlarını çalıştırmak için kullanılır. Ayrıca, SMA cihazına ayarları içeri ve dışarı aktarmak için komutlar gönderir. Bunun, UNC6148’in, saldırının kesintiye uğramaması için yeni kurallar ekleyerek mevcut bir ayar dosyasını çevrimdışı olarak değiştirdiği anlamına geldiği düşünülmektedir.

OVERSTEP Malwaresinin Dağıtımı ve Etkileri

Saldırıların son aşamasında, daha önce belgelenmemiş bir implant olan OVERSTEP dağıtılmaktadır. Bu implant, cihazın boot sürecini değiştirmekte, böylelikle kalıcı erişim sağlamaktadır. Ayrıca, kimlik bilgilerini çalmakta ve kendi bileşenlerini gizleyerek tespit edilmekten kaçınılmaktadır. Bunun için, standart kütüphane fonksiyonları open ve readdir kullanılarak bir usermode rootkit uygulanmaktadır.

Malware, aşağıdaki şekilde komutları almak için yazma API fonksiyonlarına bağlanmaktadır:

  • dobackshell: Belirtilen IP adresine ve porta bir reverse shell başlatır.
  • dopasswords: Önemli dosyaların arşivini oluşturur ve belirli bir konuma kaydeder.

GTIG, UNC6148’in, /etc/rc.d/rc.fwboot dosyasını değiştirerek OVERSTEP için kalıcılık sağladığını belirtmiştir. Bu değişiklikler, cihaz reboot edildiğinde OVERSTEP binary’sinin çalıştırılmasını sağlamaktadır.

Siber Güvenlik Önlemleri ve Tavsiyeler

Tehdit aktörleri işlerini gizlemek için sistem kayıtlarını temizlemekte ve firewall’ı yeniden başlatarak C tabanlı backdoor‘ın çalışmasını etkinleştirmektedir. Bu noktada, kayıtları seçici bir şekilde silme yeteneği, saldırganların belirli hedeflerini gözden kaçırmalarını sağlayarak anti-forensic önlemler uygulamakta çok başarılı olduklarını göstermektedir.

Google, UNC6148’in, bilinmeyen bir zero-day uzaktan kod yürütme açığı kullanarak OVERSTEP’i dağıttığını orta düzey güvenle değerlendirmektedir. Bu yürütmelerin veri hırsızlığı, zorbalık ve hatta ransomware dağıtma amacına yönelik yapıldığı düşünülmektedir. Özellikle, UNC6148 tarafından hedef alınan organizalardan birinin bilgileri, daha önceki bir zorbalık çetesi tarafından dağıtılan veri sızıntısı sitesinde yer almıştır.

Sistemlerin Güvenliği için Alınacak Önlemler

Siber güvenlik alanındaki bu gelişmeler, kenar ağ sistemlerine yönelik artan bir tehdit olduğunu göstermektedir. Bu tür sistemler genellikle Endpoint Detection and Response (EDR) gibi yaygın güvenlik araçları ile korunmamaktadır. Bu nedenle, organizasyonların, olası bir saldırıya karşı disk görüntüleri alarak forensik analiz yapmaları önerilmektedir. Ayrıca, SonicWall ile iletişim kurarak fiziksel cihazlardan disk görüntülerinin alınması gerekebilir.

Yazılımdaki zafiyetlerin farkında olmak ve bu tür durumlarda proaktif tedbir almak, siber güvenliğin sağlanması açısından hayati önem taşımaktadır.

Güncel Siber Güvenlik Haberleri – 1

Deepseek, teknolojinin maliyeti hakkındaki tartışmaların arka planında AI modellerinin% 545’inin “teorik” karlılığını duyurdu
Araştırmalar, CISO’ların %75’inin Çok Katmanlı Güvenlik Yaklaşımına Rağmen Çok Fazla Uygulama Zafiyetinin Üretime Sızmasından Endişelendiğini Ortaya Çıkardı
FvncBot ve SeedSnatcher: Android’te Güçlenen Malware Tehditleri!
Acil: 1Password, Olası Phishing Siteleri İçin Uyarı Getirdi
Android için Firefox çerezleri tamamen yasaklıyor: bundan nasıl yararlanacağınız aşağıda açıklanmıştır
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Sudden Strike 5, sekiz yıl aradan sonra WW2 RTS oyununu geri getiriyor.
Sonraki Makale Europol, Rusya yanlısı NoName057(16) DDoS hacktivist grubunu bozdu.

Sanal Medya

Son Eklenenler

OpenAI ve Anthropic’ten AI ile Biyolojik Silahlara Karşı Önlem Çağrısı
Genel
NZXT H6 Kasa ve Ultra RGB Fanlar: Sınırsız RGB Özelleştirme
Donanım
GitLab, AI Yüklerine Hizmet Vermek İçin Personelinin %14’ünü Kesiyor
Genel
CoD Sezon 4 Güncellemesi: SG-12 Dengeleme ve Anti-Hile Yenilikleri
Oyun
FirstClub 9 Ayda Değerini 255 Milyon Dolara Katladı
Genel
Nintendo Avrupa’da Değiştirilebilir Bataryaya Sahip Yeni Switch 2 Satacak
Liste