Google Threat Intelligence Group (GTIG) недавно идентификуваше напредна сајбер-кампања која се фокусира на SonicWall Secure Mobile Access (SMA) 100 серијата уреди. Овие уреди се клучни за обезбедување безбеден далечински пристап во корпоративни мрежи, а новата кампања, водена од хакерската група UNC6148, користи нов малициозен софтвер наречен OVERSTEP. Овој софтвер функционира како заден влез и кориснички rootkit, овозможувајќи постојан пристап на напаѓачите до системите.
Што е SonicWall и Зошто Е Важно? SonicWall е една од водечките компании за сајбер-безбедност која нуди решенија како firewalls, VPN и уреди за далечински пристап. Нивните SMA 100 уреди овозможуваат безбеден SSL VPN пристап за вработени, партнери и клиенти во многу компании, од мали бизниси до големи организации. Токму поради нивната важност за пристап до чувствителни податоци, овие уреди се атрактивна цел за напаѓачите.
Загрозени Системи и Нови Закани Иако нападите се насочени кон уреди кои се ажурирани, тие се дел од серијата софтвер во фаза на крај на поддршка (end-of-life), што ги прави особено ранливи. Подготвките за овие напади започнале уште во јануари 2025, а интензивирањето се очекува сега наесен.
Малициозниот софтвер OVERSTEP е специјално создаден на јазикот C и е прилагоден за SonicWall SMA 100 уредите. Негова главна карактеристика е способноста да го менува процесот на стартување на уредот, обезбедувајќи траен и скриен пристап. Исто така, краде важни информации како акредитиви, сесиски токени и еднократни лозинки, при што се користи кориснички rootkit за да ги сокрие своите активности и да избегне откривање.
Како Напаѓачите Добиваат Контрола? Google верува дека напаѓачите од UNC6148 искористиле повеќе познати слабости за да добијат администраторски пристап. Постојат и индиции дека можеби бил искористен и непознат zero-day напад за далечинско извршување на код, со што бил инсталиран OVERSTEP без знаење на сопствениците на уредите.
Поврзаност со Рансомвер Напади GTIG открила поврзаност на овие напади со претходни ransomware кампањи од 2023 и 2024 година, поврзани со групата Abyss. Во мај 2025, една од нападнатите организации била објавена на сајт за истекување податоци, што сугерира операции за уцена или продажба на украдени информации.
Препораки од Google и SonicWall за Заштита
- Ротација на акредитиви: Итно менување на лозинките и еднократните токени.
- Обновување на сертификати: Повлекување и повторно издавање на сертификати со компромитирани приватни клучеви.
- Засилено мониторинг: Следење на сомнителни VPN сесии од непознати IP адреси.
- Форензичка анализа: Изработка на слики од уредите за детална анализа, избегнувајќи нарушување од rootkit. За ова е препорачана соработка со SonicWall.
SonicWall ја помести крајната поддршка за SMA 100 серијата од октомври 2027 на декември 2025, со цел да ги поттикне корисниците да преминат на побезбедни уреди.
Зошто Ова Е Голема Опасност? Според GTIG, над 20% од организациите сè уште користат застарени безбедносни уреди, што ги прави лесна мета. Ова не е изолиран случај, туку дел од широка глобална појава на напади кон мрежни уреди за далечински пристап. Sophisticiranоста на OVERSTEP и можноста за користење на zero-day ранливости го зголемуваат ризикот, па организациите мора брзо и темелно да ги заштитат своите мрежи.
Ако користите SonicWall SMA 100 уреди, сега е време за итни мерки — не чекајте да станете следната жртва на оваа опасна сајбер-кампања!
