Yeni Tehdit: OVERSTEP Kötü Amaçlı Yazılımı
Son zamanlarda siber güvenlik dünyasında dikkat çeken bir gelişme, OVERSTEP adlı önceki görünümden uzak bir kötü amaçlı yazılımın ortaya çıkmasıdır. Bu yazılım, tamamen güncel ancak artık desteklenmeyen SonicWall Secure Mobile Access (SMA) cihazlarının önyükleme sürecini değiştirerek çalışmaktadır. Olayın merkezinde, UNC6148 olarak adlandırılan bir tehdit aktörü yer alıyor. Araştırmalar, bu grubun güvenlik açıklarından faydalanarak saldırılar gerçekleştirdiğini ortaya koyuyor.
UNC6148’in Saldırı Yaklaşımı
OVERSTEP adlı bu kötü niyetli yazılım, kullanıcının cihazına yerleşerek siber suçlulara kötü amaçlı bileşenleri gizleme, cihaz üzerinde sürekli erişim sağlama ve hassas bilgileri çalma imkanı tanıyor. Google Tehdit İstihbarat Grubu (GTIG), bu kök setinin bir sıfır gün uzaktan kod yürütme güvenlik açığına dayanarak gerçekleştirilen saldırılarda görüldüğünü bildirdi.
Tehdit aktörü UNC6148, en azından geçen yılın Ekim ayından bu yana faaliyet gösteriyor ve hedef aldığı bir organizasyonu en son Mayıs ayında saldırıya uğrattı. Çalınan dosyaların daha sonra bir veri sızıntısı sitesinde yayımlanması, bu grubun veri hırsızlığı ve fidye talepleri ile ilgilendiğini gösteriyor.
Saldırganların Hedefleri: EoL Cihazlar
Saldırganlar, SonicWall SMA 100 Serisi cihazlarını hedef alıyor. Bu cihazlar, yerel ağda, bulutta veya karma veri merkezlerinde kurumsal kaynaklara güvenli uzaktan erişim sağlamak için tasarlanmıştır. İlk erişimin nasıl sağlandığı belirsiz. Ancak, UNC6148’in gerçekleştirilen saldırılarda zaten yerel yönetici kimlik bilgilerine sahip olduğu tespit edildi.
GTIG, UNC6148’in bilinen bir güvenlik açığını kullanarak yönetici kimlik bilgilerini çalmış olabileceği konusunda yüksek bir güvenle değerlendirmelerde bulundu. Ağ trafiği verileri incelendiğinde, bu grubun, hedeflenen cihazın kimlik bilgilerini Ocak ayında çalmış olabileceğine dair kanıtlar bulundu.
Güvenlik Açıkları ve Saldırı Taktikleri
UNC6148’in saldırılarında, farklı CVE numaralarıyla tanımlanan bir dizi güvenlik açığına (CVE-2021-20038, CVE-2024-38475, CVE-2021-20035, CVE-2021-20039, CVE-2025-32819) istismar edildiği düşünülüyor. Bu açıkların en eskisi 2021 yılında duyuruldu ve en yenisi Mayıs 2025 için kaydedildi. Özellikle CVE-2024-38475, UNC6148 için yerel yönetici kimlik bilgilerini ve geçerli oturum jetonlarını sağlaması açısından kritik bir açık konumunda.
Ancak, Mandiant şirketinin olay yanıtlayıcıları, saldırganın bu güvenlik açığını kullanıp kullanmadığını doğrulayamamıştır.
Reverse Shell Kullanımı ve Güvenlik Açığı
Haziran ayında gerçekleştirilen bir saldırıda, UNC6148 yerel yönetici kimlik bilgilerini kullanarak hedeflenen SMA 100 serisi cihazına bir SSL-VPN oturumu üzerinden bağlandı. Saldırganlar, tasarımsal olarak mümkün olmaması gereken bir reverse shell (geri dönük kabuk) başlattı. SonicWall’ın Ürün Güvenlik Olay Yanıt Takımı (PSIRT), bu durumun nasıl mümkün olduğunu belirlemeye çalıştı ancak kesin bir açıklama getiremedi.
Bu şekilde cihaz üzerinde reconnaissance (keşif) ve dosya manipülasyonu faaliyetleri gerçekleştiren tehdit aktörü, hacker’ın IP adreslerini kabul eden yeni ağ erişim kontrol politikası kurallarını da cihazınıza aktardı.
OVERSTEP Kök Setinin Özellikleri
Saldırgan, daha sonra bir dizi komut aracılığıyla OVERSTEP kök setini dağıttı. Bu aşamada, kötü amaçlı yazılımın base64 kodlamasının çözülmesi ve .ELF dosyası olarak kurulumunu gerçekleştirdiği belirlendi.
Yeni kök seti ile birlikte, saldırgan journallerden sistem günlüklerini temizledi ve cihazın yeniden başlatılmasını sağlayarak OVERSTEP arka kapısını etkin hale getirdi. OVERSTEP, ortamda geri dönük bir kabuk kurmanın yanı sıra, ana makineden parolaları çalma gibi işlevler de gerçekleştiriyor ve bileşenlerini gizli tutma yeteneği sunuyor.
GTIG, OVERSTEP’in hassas dosyaları çalma potansiyelini vurguluyor ki bu dosyalar arasında persist.db veri tabanı ve sertifika dosyaları bulunuyor. Bu tür dosyalar, siber suçlulara yönetici kimlik bilgilerine, OTP tohumlarına ve sürekli erişim sağlayan sertifikalara ulaşma imkanı sunuyor.
Hedef alınan SMA cihazlarının güvenliğini sağlamak ve olası bir ihlali tespit etmek için firmaların disk görüntüleri alması öneriliyor. GTIG, cihazın hacklendiğini belirlemek için dikkate alınması gereken bazı gösterge setlerini de sağlıyor.
