Google Threat Intelligence Group (GTIG) објави дека открила напредна кампања за сајбер-напади насочена кон SonicWall Secure Mobile Access (SMA) 100 серијата уреди, кои се користат за безбеден далечински пристап во корпоративни мрежи. Оваа кампања, водена од групата означена како UNC6148, користи новооткриен малициозен софтвер наречен OVERSTEP, кој функционира како заден влез и кориснички rootkit.
SonicWall е водечка компанија за сајбер-безбедност што развива мрежни безбедносни решенија, вклучувајќи firewalls, VPN и уреди за далечински пристап. Нивните SMA 100 уреди се хардверски или софтверски решенија кои овозможуваат безбеден далечински пристап до корпоративни мрежи за вработените, партнерите и клиентите, преку SSL VPN технологија. Овие уреди се широко користени од мали и средни бизниси, но и од поголеми организации за управување со пристапот до чувствителни податоци и апликации.
Нови закани за застарените системи
Нападите се насочени кон уреди кои се целосно ажурирани, но веќе се во фаза на крај на поддршката (end-of-life), што ги прави особено ранливи. Според извештаите, подготовките за овие напади започнале уште во јануари 2025 година, со очекување за интензивирање сега наесен.
Според анализата на GTIG, малициозниот софтвер OVERSTEP е напреден заден влез напишан во програмскиот јазик C, специјално прилагоден за SonicWall SMA 100 серијата. Овој софтвер се одликува со способност да го модифицира процесот на подигање на уредот, овозможувајќи постојан пристап на напаѓачите.
Исто така, OVERSTEP краде чувствителни податоци, вклучувајќи акредитиви, сесиски токени и еднократни лозинки. За да избегне детекција, малициозниот софтвер користи кориснички rootkit кој ги прикрива неговите компоненти преку модификација на стандардните функции за работа со датотеки, како open и readdir, и го пресретнува API-то за пишување за да прима команди од сервер контролиран од напаѓачите.
Според Google, напаѓачите од UNC6148 веројатно искористиле неколку познати ранливости за да добијат администраторски акредитиви пред уредите да бидат ажурирани. Покрај познатите ранливости, GTIG е уверен дека UNC6148 можеби искористил и непозната ранливост за далечинско извршување на код (zero-day) за да го инсталира OVERSTEP.
Врската помеѓу новите напади и претходните ransomware кампањи
Интересно, GTIG забележа преклопувања помеѓу оваа кампања и претходни напади врз SonicWall уреди од 2023 и 2024 година, кои биле поврзани со ransomware од типот Abyss. Во мај 2025 година, една од целните организации била објавена на сајтот за истекување податоци „World Leaks“, што укажува на потенцијална врска со операции за уцена или продажба на украдени податоци.
Google и SonicWall издадоа неколку препораки за организациите што користат SMA 100 серијата уреди:
- Ротација на акредитиви: Итно менување на сите лозинки и еднократни токени за корисниците.
- Обновување на сертификати: Повлекување и повторно издавање на сертификатите чии приватни клучеви се складирани на уредите.
- Засилено следење: Воведување мониторинг на сомнителни VPN сесии од надворешни IP адреси.
- Форензичка анализа: Организациите треба да направат слики од дисковите на уредите за форензичка анализа, избегнувајќи мешање од анти-форензичките способности на rootkit-от. Google препорачува соработка со SonicWall за оваа цел.
SonicWall, од своја страна, објави дека ќе го забрза крајот на поддршката за SMA 100 серијата од 1 октомври 2027 на 31 декември 2025 година, со цел да ги поттикне корисниците да преминат на понови, побезбедни решенија.
Според извештај на GTIG, над 20% од организациите сè уште користат застарени безбедносни уреди, што ги прави лесна цел за напаѓачите. Нападите врз SonicWall уредите не се изолиран инцидент, туку дел од поширок тренд на искористување на мрежни уреди за далечински пристап, кои се критична точка во корпоративните мрежи.
Дополнително, софистицираноста на OVERSTEP укажува на високото ниво на техничка експертиза на UNC6148, што ја прави оваа закана особено сериозна. Врската со ransomware операции и потенцијалната употреба на zero-day ранливости дополнително ја зголемуваат опасноста, а организациите мора да дејствуваат брзо за да ги заштитат своите мрежи.
Оваа содржина е генерирана со помош на вештачка интелигенција, но е внимателно проверена, уредена и дополнета од уредничкиот тим на IT.mk, со цел да обезбедиме точни, релевантни и квалитетни информации за читателите.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
