أخرى
#SonicWall
#ZeroDayAttack
هجوم يوم الصفر على أجهزة SonicWall: تهديدات جديدة
يبدو أن هناك جهة تهديد مرتبطة بحملة فدية "أبيس" تستغل ثغرة يوم الصفر لزرع باب خلفي جديد بشكل خفي على أجهزة SonicWall Secure Mobile Access (SMA) 100 التي تم تحديثها بالكامل ولكنها وصلت إلى نهاية عمرها الافتراضي. ما يجعل هذه الحملة خطيرة بشكل خاص هو استخدام المهاجمين لبيانات اعتماد المسؤول المحلية المسروقة وبذور كلمات المرور لمرة واحدة من عمليات اختراق سابقة، مما يترك المؤسسات عرضة لهجمات متكررة.
لا يزال الباحثون في مجموعة Google للذكاء التهديدي (GTIG) يجمعون المعلومات حول كيفية جمع المهاجمين لتلك البيانات، لكنهم يشتبهون في أن المجرمين يستغلون ثغرات معروفة أخرى في SonicWall للحصول على وصول أولي. يبدو أن الهدف النهائي من الحملة هو سرقة البيانات، والابتزاز، ونشر الفدية. تتبع GTIG مجموعة التهديدات هذه باسم UNC6148، وهو تنسيق يستخدمه لتحديد الأنشطة الاختراقية غير المصنفة التي لا يزال يجمع معلومات عنها. تشير البيانات المتاحة إلى أن النشاط الخبيث المرتبط بالحملة الجارية قد بدأ في وقت مبكر من أكتوبر 2024.
قالت Google في تحليلها للحملة هذا الأسبوع: "في هذه الموجة الجديدة من النشاط، نشر المهاجم بابًا خلفيًا دائمًا/جذرًا في وضع المستخدم لم يكن معروفًا من قبل والذي تتبعه GTIG باسم Overstep". "تحليلنا يظهر أن هذا البرمجيات الخبيثة تعدل عملية إقلاع الجهاز للحفاظ على الوصول المستمر، وسرقة بيانات اعتماد حساسة، وإخفاء مكوناته الخاصة."
متجه دخول أولي غير معروف
تعتبر أجهزة بوابة الشبكة مثل SMA من SonicWall أهدافًا شائعة للمهاجمين لسبب وجيه. فهي غالبًا ما تعمل كنقاط وصول حيوية إلى الشبكات المؤسسية، مما يمنح الوصول عن بُعد للموظفين والمديرين على حد سواء. بالنسبة للهاكرز، يمكن أن يوفر اختراق بوابة مثل SMA وصولاً إلى أنظمة داخلية ذات قيمة عالية، وبيانات حساسة، وفرص لنشر الفدية. يمكن أن تتفاقم المشكلة مع البرامج والأجهزة القديمة التي وصلت إلى نهاية عمرها الافتراضي بسبب ميل فرق الأمان إلى إهمالها عند مواجهة التهديدات والثغرات الأمنية.
يجب على المؤسسات التي تستخدم أجهزة قد تتأثر أن تفحصها بحثًا عن علامات الاختراق. تعتبر هذه الخطوة ضرورية بشكل خاص إذا كانت الأنظمة قد تأثرت بـ CVE-2021-20035، وهي ثغرة RCE مصدقة لاحظت Arctic Wolf أن جهة تهديد استغلتها في حملة سرقة بيانات اعتماد في أبريل، وفقًا لما ذكرته GTIG. يجب على المؤسسات أيضًا إجراء تحليل جنائي على صور الأقراص - بمساعدة SonicWall إذا لزم الأمر - للتأكد من أن المهاجمين لم يخترقوا الأنظمة ثم يخفوا آثارهم، حسبما قال الباحثون.
في تصريحات لموقع Dark Reading، يقول زاندر وورك، مهندس أمان أول في GTIG، إنه حتى الآن، غير واضح كيف تحصل UNC6148 على بيانات اعتماد المسؤول لاستخدامها في هجماتها. أدرج تقرير GTIG نفسه عدة ثغرات معروفة سابقًا في أجهزة SMA 100 - بالإضافة إلى CVE-2021-20035 - التي يمكن أن يستخدمها المهاجم لغرض ذلك. تشمل الثغرات CVE-2021-20038، وهي ثغرة RCE في SMA 100؛ CVE-2024-38475، وهي ثغرة في حقن الأوامر بعد المصادقة التي أضافتها CISA إلى كتالوج الثغرات المستغلة المعروفة في وقت سابق من هذا العام؛ CVE-2021-20039، وهي ثغرة RCE مصدقة؛ وCVE-2025-32819، وهي ثغرة حذف ملفات عشوائية في SMA 100 (الأحدث بين هذه الثغرات).
قالت GTIG إنها أدرجت الثغرات في تقريرها بشكل أساسي لأن كل واحدة منها كانت مرتبطة علنًا بحملات حديثة تستهدف أجهزة SMA 100. من المحتمل أيضًا أن UNC6148 حصلت على بيانات الاعتماد باستخدام أدوات سرقة المعلومات أو حتى من سوق بيانات الاعتماد.
أظهر تحقيق GTIG في هجوم يونيو على جهاز SMA 200 استخدام المهاجم لبيانات اعتماد المسؤول المحلية التي تم الحصول عليها مسبقًا لإنشاء جلسة SSL-VPN مع الجهاز المستهدف. ثم نشر المهاجم قشرة عكسية على الجهاز المخترق - وهو ما ينبغي أن لا يكون ممكنًا عادة - مما دفع الباحثين في Google إلى استنتاج أن ثغرة يوم الصفر قد تكون قد لعبت دورًا.
يقول وورك: "حتى الآن، لم نتمكن من تحديد أو تأكيد الثغرة (أو الثغرات) غير المرقعة التي قد تكون استغلتها UNC6148"، "نوصي المؤسسات التي تستخدم سلسلة SMA 100 باتباع التوصيات الموضحة في بحثنا للبحث عن اختراقات محتملة وتدوير جميع بيانات الاعتماد، حتى لو كانت أجهزتهم محدثة بالكامل."
روابط بحملة الفدية "أبيس"
بمجرد دخولهم إلى القشرة العكسية، قام المهاجم بإجراء استكشاف للنظام وتلاعب بالملفات باستخدام أدوات لينكس القياسية. رصد باحثو GTIG المهاجمين وهم يصدرون إعدادات جهاز SMA المخترق ثم يعدلونها في وضع عدم الاتصال لتضمين قواعد جديدة لسياسة التحكم في الوصول لبنيتهم التحتية الهجومية لضمان بقاء بابهم الخلفي مفتوحًا دون انقطاع. بمجرد أن يكون المهاجم قد أعد الجهاز المخترق بشكل كافٍ، قاموا بتثبيت باب "Overstep" الخلفي عليه.
وصف GTIG الباب الخلفي بأنه مكتوب بلغة C ومصمم لأجهزة SonicWall SMA 100. تأتي البرمجيات الخبيثة كمكتبة مشتركة ELF 32 بت يتم تحميلها في كل عملية قيد التشغيل. يقوم بذلك عن طريق اختطاف ملف نظام يخبر لينكس بأي مكتبات يجب تحميلها أولاً. يتم تحميل المكتبة الضارة تلقائيًا وت intercept خمسة وظائف نظام رئيسية، مما يضمن من بين أمور أخرى، أن Overstep يمكنه إخفاء ملفاته الخاصة وإقامة اتصالات خلفية. وجد باحثو Google أن آلية بقاء الباب الخلفي كانت خاصة للغاية ومصممة لضمان بقاء Overstep قيد التشغيل بعد إعادة التشغيل ومعظم محاولات إزالته.
أفادت تقارير سابقة عن حملة الفدية "أبيس" من Truesec في 2023 و2024 باستخدام أداة مشابهة. يقول وورك: "نعتقد أن هذه الأداة هي نفس ما نسميه Overstep بناءً على التفاصيل الفنية المقدمة". "لم نلاحظ مجموعات تهديد أخرى تستخدم Overstep، ولم نر أي عينات عامة من البرمجيات الخبيثة، مما يشير إلى أن استخدامها قد يقتصر على UNC6148."
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!