Группа Google Threat Intelligence Group в опубликованном в среду отчете заявила, что финансово мотивированная группа атакует организации, используя полностью исправленные и вышедшие из эксплуатации устройства серии SonicWall Secure Mobile Access 100.
Группа, которую Google идентифицирует как UNC6148, использует ранее украденные учетные данные администратора для получения доступа к устройствам серии SonicWall SMA 100 — устройствам удалённого VPN-доступа, которые производитель прекратил продавать и поддерживать в начале этого года. По мнению исследователей, UNC6148, вероятно, проникает в сети для кражи данных с целью вымогательства и, возможно, запуска программы-вымогателя.
Атаки подчеркивают постоянный риск, которому подвергаются клиенты SonicWall из-за эксплуатируемых уязвимостей, особенно ряда дефектов, затрагивающих устаревшие устройства серии SonicWall SMA 100.
С конца 2021 года поставщик 14 раз упоминается в каталоге известных эксплуатируемых уязвимостей Агентства по кибербезопасности и безопасности инфраструктуры. Половина этих эксплуатируемых уязвимостей затрагивает устройства SonicWall SMA 100, включая три из четырех дефектов, добавленных в каталог CISA в этом году.
«В ответ на меняющийся ландшафт угроз и в соответствии с нашими обязательствами по обеспечению прозрачности и защите клиентов SonicWall планирует ускорить дату окончания поддержки SMA 100», — сообщил CyberScoop Брет Фицджеральд, старший директор по глобальным коммуникациям SonicWall.
«SonicWall активно ориентирует клиентов на более современные и безопасные решения, такие как наш сервис Cloud Secure Edge и серия SMA 1000», — добавил он.
«Мы понимаем, что не все клиенты ещё перешли на SMA 100, и мы по-прежнему стремимся поддерживать существующие развёртывания SMA 100 обновлениями прошивки на протяжении всего оставшегося жизненного цикла. Эти обновления могут стать более частыми, поскольку мы уделяем первостепенное внимание снижению рисков и постоянной защите нашей пользовательской базы», — сказал Фицджеральд.
Компания Google заявила, что у неё нет доказательств первоначального вектора заражения UNC6148, использованного для доступа к устройствам SonicWall, поскольку вредоносное ПО этой группы выборочно удаляет записи в журналах. Тем не менее, исследователи отметили, что UNC6148 мог использовать несколько уязвимостей, включая CVE-2021-20038 , CVE-2024-38475 , CVE-2021-20035 , CVE-2021-20039 или CVE-2025-32819 .
«UNC6148 мог использовать одну из упомянутых CVE для получения учетных данных администратора до обновления целевого устройства до последней версии прошивки (10.2.1.15-81sv), а затем использовать их для последующей установки сеанса VPN, прежде чем, возможно, воспользоваться другой неизвестной уязвимостью после полного обновления устройства», — сообщил в электронном письме Зандер Уорк, старший инженер по безопасности в Google Threat Intelligence Group.
«Однако для подтверждения этого факта недостаточно данных судебной экспертизы по инцидентам, которые мы расследовали на сегодняшний день», — добавил Уорк.
Информация о действиях после взлома также ограничена. «Мы полагаем, что UNC6148 может осуществлять кражу данных с целью вымогательства или, возможно, развертывания программы-вымогателя в качестве конечной цели своих атак, но пока не можем подтвердить это из-за ограниченности данных расследования», — сказал Уорк.
По данным Google, одна из целевых жертв UNC6148 появилась на сайте утечки данных World Leaks в июне, а деятельность этой вредоносной группировки пересекается с эксплуатацией SonicWall в конце 2023 — начале 2024 года, включая атаки с использованием вируса-вымогателя под брендом Abyss.
По данным федерального агентства, эксплуатируемые уязвимости SonicWall являются популярными векторами для программ-вымогателей, при этом большинство CVE-кодов поставщика из каталога CISA — 9 из 14 — используются в кампаниях по вымогательству.
Компания Mandiant узнала больше о технических операциях UNC6148 в ходе расследования атаки, произошедшей в июне. В ходе этой атаки UNC6148 установил сеанс SSL VPN на устройстве серии SMA 100, используя учетные данные локального администратора, а затем неизвестным способом развернул обратный шелл.
Обратная оболочка позволила группе злоумышленников проводить разведку, манипулировать файлами, а также экспортировать и импортировать настройки в устройство SMA 100, прежде чем она развернула бэкдор OVERSTEP, техническими подробностями которого Google поделилась в своем отчете.
По словам Уорка, расследование помогло Google «узнать больше о том, как [UNC6148] может использовать ранее скомпрометированные устройства SonicWall для дальнейших операций по вторжению, даже после того, как организации установили обновления безопасности».
Google и SonicWall отказались сообщить, сколько устройств SonicWall SMA 100 подверглось атаке UNC6148, а также сколько организаций пострадало от этой продолжающейся кампании.
Группа, которую Google идентифицирует как UNC6148, использует ранее украденные учетные данные администратора для получения доступа к устройствам серии SonicWall SMA 100 — устройствам удалённого VPN-доступа, которые производитель прекратил продавать и поддерживать в начале этого года. По мнению исследователей, UNC6148, вероятно, проникает в сети для кражи данных с целью вымогательства и, возможно, запуска программы-вымогателя.
Атаки подчеркивают постоянный риск, которому подвергаются клиенты SonicWall из-за эксплуатируемых уязвимостей, особенно ряда дефектов, затрагивающих устаревшие устройства серии SonicWall SMA 100.
С конца 2021 года поставщик 14 раз упоминается в каталоге известных эксплуатируемых уязвимостей Агентства по кибербезопасности и безопасности инфраструктуры. Половина этих эксплуатируемых уязвимостей затрагивает устройства SonicWall SMA 100, включая три из четырех дефектов, добавленных в каталог CISA в этом году.
«В ответ на меняющийся ландшафт угроз и в соответствии с нашими обязательствами по обеспечению прозрачности и защите клиентов SonicWall планирует ускорить дату окончания поддержки SMA 100», — сообщил CyberScoop Брет Фицджеральд, старший директор по глобальным коммуникациям SonicWall.
«SonicWall активно ориентирует клиентов на более современные и безопасные решения, такие как наш сервис Cloud Secure Edge и серия SMA 1000», — добавил он.
«Мы понимаем, что не все клиенты ещё перешли на SMA 100, и мы по-прежнему стремимся поддерживать существующие развёртывания SMA 100 обновлениями прошивки на протяжении всего оставшегося жизненного цикла. Эти обновления могут стать более частыми, поскольку мы уделяем первостепенное внимание снижению рисков и постоянной защите нашей пользовательской базы», — сказал Фицджеральд.
Компания Google заявила, что у неё нет доказательств первоначального вектора заражения UNC6148, использованного для доступа к устройствам SonicWall, поскольку вредоносное ПО этой группы выборочно удаляет записи в журналах. Тем не менее, исследователи отметили, что UNC6148 мог использовать несколько уязвимостей, включая CVE-2021-20038 , CVE-2024-38475 , CVE-2021-20035 , CVE-2021-20039 или CVE-2025-32819 .
«UNC6148 мог использовать одну из упомянутых CVE для получения учетных данных администратора до обновления целевого устройства до последней версии прошивки (10.2.1.15-81sv), а затем использовать их для последующей установки сеанса VPN, прежде чем, возможно, воспользоваться другой неизвестной уязвимостью после полного обновления устройства», — сообщил в электронном письме Зандер Уорк, старший инженер по безопасности в Google Threat Intelligence Group.
«Однако для подтверждения этого факта недостаточно данных судебной экспертизы по инцидентам, которые мы расследовали на сегодняшний день», — добавил Уорк.
Информация о действиях после взлома также ограничена. «Мы полагаем, что UNC6148 может осуществлять кражу данных с целью вымогательства или, возможно, развертывания программы-вымогателя в качестве конечной цели своих атак, но пока не можем подтвердить это из-за ограниченности данных расследования», — сказал Уорк.
По данным Google, одна из целевых жертв UNC6148 появилась на сайте утечки данных World Leaks в июне, а деятельность этой вредоносной группировки пересекается с эксплуатацией SonicWall в конце 2023 — начале 2024 года, включая атаки с использованием вируса-вымогателя под брендом Abyss.
По данным федерального агентства, эксплуатируемые уязвимости SonicWall являются популярными векторами для программ-вымогателей, при этом большинство CVE-кодов поставщика из каталога CISA — 9 из 14 — используются в кампаниях по вымогательству.
Компания Mandiant узнала больше о технических операциях UNC6148 в ходе расследования атаки, произошедшей в июне. В ходе этой атаки UNC6148 установил сеанс SSL VPN на устройстве серии SMA 100, используя учетные данные локального администратора, а затем неизвестным способом развернул обратный шелл.
Обратная оболочка позволила группе злоумышленников проводить разведку, манипулировать файлами, а также экспортировать и импортировать настройки в устройство SMA 100, прежде чем она развернула бэкдор OVERSTEP, техническими подробностями которого Google поделилась в своем отчете.
По словам Уорка, расследование помогло Google «узнать больше о том, как [UNC6148] может использовать ранее скомпрометированные устройства SonicWall для дальнейших операций по вторжению, даже после того, как организации установили обновления безопасности».
Google и SonicWall отказались сообщить, сколько устройств SonicWall SMA 100 подверглось атаке UNC6148, а также сколько организаций пострадало от этой продолжающейся кампании.
