بدافزار اور استپ در کمین تجهیزات سونیک وال

به گزارش کارگروه امنیت خبرگزاری سایبربان، تیم اطلاعات تهدید گوگل (GTIG) و شرکت امنیتی ماندیانت (Mandiant) روز چهارشنبه اعلام کردند که یک کمپین فعال از سوی یک گروه ناشناس را شناسایی کرده‌اند.

این گروه با استفاده از گذرواژه‌ها و کدهای یک‌بارمصرف (OTP) که در حملات پیشین به‌سرقت رفته‌اند، مجدداً به سیستم سازمان‌ها دسترسی پیدا می‌کند؛ حتی پس از آن‌که به‌روزرسانی‌های امنیتی اعمال شده‌اند.

سخنگوی گوگل گفت که اطلاعات کافی برای تعیین محل استقرار، انگیزه یا تعداد دقیق قربانیان وجود ندارد.

در گزارش منتشرشده، این گروه مهاجم با نام UNC6148 شناخته شده و گفته می‌شود که فعالیت آن‌ها از اکتبر ۲۰۲۴ آغاز شده است.

گوگل اعلام کرد که انگیزه این گروه احتمالاً مالی است؛ چرا که دست‌کم یکی از قربانیان در ماه می در سایت افشای داده‌ی ورلد لیکس (World Leaks) ظاهر شد.

همچنین برخی فعالیت‌های گذشته، ارتباط‌هایی با گروه باج‌افزاری آبیس (Abyss) نشان می‌دهد.

با این حال، پژوهشگران تأکید کردند که احتمال هم‌پوشانی تصادفی نیز وجود دارد.

این کمپین بر روی تجهیزات قدیمی اما به‌روزشده‌ی SonicWall Secure Mobile Access (SMA) سری ۱۰۰ متمرکز است.

گوگل توضیح داد که بدافزاری که مهاجمان استفاده می‌کنند، لاگ‌ها را حذف می‌کند و ردیابی نحوه نفوذ اولیه را دشوار می‌سازد.

با اینکه شرکت سونیک وال (SonicWall) به درخواست رسانه‌ای پاسخ نداده، اما گوگل اعلام کرده که با تیم پاسخ به رخدادهای امنیتی این شرکت برای بررسی برخی موارد همکاری داشته است.

گوگل هشدار داد که حملات فقط به موارد بررسی‌شده محدود نمی‌شود و سونیک وال نیز گزارش‌هایی از سازمان‌های آسیب‌دیده دیگر دریافت کرده است.

بر اساس یافته‌های گوگل، سونیک وال هشدار امنیتی مربوط به آسیب‌پذیری CVE-2024-38475 را به‌روزرسانی کرده و توصیه‌ای مهم به کاربران ارائه داده است:

توصیه می‌کنیم برای تمام کاربران، تنظیمات کدهای یک‌بارمصرف را بازنشانی کنید تا در صورت نشت اطلاعات یا منقضی‌شدن کلیدهای کدهای یک‌بارمصرف، از سوءاستفاده جلوگیری شود.

نقطه برجسته این حمله، استفاده از یک درب پشتی (Backdoor) جدید به‌نام اور استپ (OVERSTEP) است که فرآیند بوت دستگاه را تغییر می‌دهد تا دسترسی پایدار حفظ شود، اطلاعات حساس دزدیده شود و اجزای بدافزار مخفی بمانند.

پاسخ‌دهندگان به رخدادها اذعان کرده‌اند که به‌دلیل حذف لاگ‌ها توسط اور استپ، ردگیری فعالیت‌های بیشتر مهاجمان دشوار بوده است.

گوگل اظهار کرد که این بدافزار خاص برای تجهیزات SMA 100 طراحی شده است.

علاوه بر آسیب‌پذیری CVE-2024-38475، کارشناسان گوگل و ماندیانت احتمال داده‌اند که مهاجمان از آسیب‌پذیری‌های زیر برای نفوذ اولیه استفاده کرده باشند:

•    CVE-2021-20038
•    CVE-2021-20035
•    CVE-2021-20039
•    CVE-2025-32819

همچنین گوگل احتمال می‌دهد که یک آسیب‌پذیری روز صفر ناشناخته نیز برای نصب بدافزار استفاده شده باشد.

در یکی از بررسی‌های اخیر، مشخص شد که گروه UNC6148 از پیش دسترسی ادمین محلی به دستگاه هدف داشته، اما شواهدی در مورد نحوه دستیابی به این اطلاعات پیدا نشده است.

پژوهشگران نتیجه گرفتند که این گروه احتمالاً پیش از نصب آخرین نسخه میان‌افزار، از یک آسیب‌پذیری شناخته‌شده برای سرقت گذرواژه‌های ادمین استفاده کرده است.

در ادامه، مهاجمان با استفاده از اور استپ اطمینان حاصل کرده‌اند که کنترل کامل و ماندگار بر دستگاه خواهند داشت.

پژوهشگران بیان کردند:

با اینکه استفاده مستقیم از داده‌های سرقت‌شده را مشاهده نکردیم، اما این اطلاعات مسیر روشنی برای حفظ دسترسی پایدار ایجاد می‌کنند.