Συσκευές SonicWall SMA παραβιάστηκαν με το rootkit OVERSTEP
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Συσκευές SonicWall SMA παραβιάστηκαν με το rootkit OVERSTEP
https://www.secnews.gr/654093/siskeves-sonicwall-sma-paraviastikan-me-rootkit-overstep/
Jul 17th 2025, 11:23
by Absenta Mia
Ένας κακόβουλος παράγοντας έχει αναπτύξει ένα άγνωστο μέχρι πρότινος rootkit με την ονομασία OVERSTEP, το οποίο τροποποιεί τη διαδικασία εκκίνησης συσκευών SonicWall Secure Mobile Access (SMA) που, αν και πλήρως ενημερωμένες, δεν υποστηρίζονται πλέον επίσημα.
Δείτε επίσης: SonicWall: Ψεύτικο NetExtender κλέβει VPN credentials
Το rootkit, επιτρέπει στους επιτιθέμενους να αποκρύπτουν κακόβουλα στοιχεία, να διατηρούν μόνιμη πρόσβαση στη συσκευή και να κλέβουν ευαίσθητα διαπιστευτήρια.
Ερευνητές της Google Threat Intelligence Group (GTIG) εντόπισαν το rootkit σε επιθέσεις που πιθανώς αξιοποίησαν «μια άγνωστη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα τύπου zero-day». Ο φορέας απειλής παρακολουθείται υπό την ονομασία UNC6148 και δραστηριοποιείται τουλάχιστον από τον περασμένο Οκτώβριο, με πιο πρόσφατο στόχο του στόχο να εντοπίζεται τον Μάιο.
Επειδή αρχεία που εκλάπησαν από τα θύματα δημοσιεύτηκαν αργότερα στον ιστότοπο διαρροής δεδομένων World Leaks, οι ερευνητές της GTIG εκτιμούν ότι η UNC6148 εμπλέκεται σε κλοπή δεδομένων και επιθέσεις εκβιασμού, ενώ ενδέχεται επίσης να χρησιμοποιεί το κακόβουλο λογισμικό Abyss ransomware (το οποίο η GTIG παρακολουθεί υπό την ονομασία VSOCIETY).
Οι χάκερς στοχεύουν συσκευές SonicWall SMA 100 Series που έχουν φτάσει στο τέλος της ζωής τους (End-of-Life, EoL) και παρέχουν ασφαλή απομακρυσμένη πρόσβαση σε εταιρικούς πόρους είτε στο τοπικό δίκτυο, είτε στο cloud, είτε σε υβριδικά datacenters.
Δείτε ακόμα: Ευπάθεια SonicWall SMA1000 επιτρέπει απομακρυσμένη πρόσβαση
Δεν είναι σαφές πώς οι επιτιθέμενοι απέκτησαν αρχική πρόσβαση, ωστόσο οι ερευνητές που ανέλυσαν τις επιθέσεις της ομάδας UNC6148 διαπίστωσαν ότι ο φορέας απειλής διέθετε ήδη διαπιστευτήρια τοπικού διαχειριστή στη στοχευμένη συσκευή. Από την ανάλυση των μεταδεδομένων της δικτυακής κίνησης, προέκυψαν ενδείξεις ότι τα διαπιστευτήρια είχαν κλαπεί ήδη από τον Ιανουάριο.
Συσκευές SonicWall SMA παραβιάστηκαν με το rootkit OVERSTEP
Πιθανώς να εκμεταλλεύτηκαν μία ή περισσότερες γνωστές ευπάθειες (n-day vulnerabilities), όπως οι:
CVE-2021-20038, CVE-2024-38475, CVE-2021-20035, CVE-2021-20039 και CVE-2025-32819 — με την παλαιότερη να έχει δημοσιοποιηθεί το 2021 και τη νεότερη τον Μάιο του 2025.
Από αυτές, οι χάκερς ενδέχεται να εκμεταλλεύτηκαν την CVE-2024-38475, καθώς επιτρέπει την απόκτηση "διαπιστευτηρίων διαχειριστή και έγκυρων session tokens" τα οποία η UNC6148 θα μπορούσε να επαναχρησιμοποιήσει.
Ωστόσο, οι αναλυτές περιστατικών της Mandiant (εταιρεία της Google) δεν κατόρθωσαν να επιβεβαιώσουν αν όντως έγινε εκμετάλλευση της συγκεκριμένης ευπάθειας από τον επιτιθέμενο.
Δείτε επίσης: Η SonicWall διόρθωσε τρεις σοβαρές ευπάθειες σε συσκευές SMA
Βάσει των παραπάνω, προκύπτει ένα ανησυχητικό μοτίβο στο πεδίο της κυβερνοασφάλειας: παρωχημένες συσκευές που δεν υποστηρίζονται πλέον από τον κατασκευαστή (όπως οι SonicWall SMA 100 Series σε κατάσταση End-of-Life) αποτελούν ελκυστικούς στόχους για προηγμένους φορείς απειλής όπως η ομάδα UNC6148.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Συσκευές SonicWall SMA παραβιάστηκαν με το rootkit OVERSTEP
https://www.secnews.gr/654093/siskeves-sonicwall-sma-paraviastikan-me-rootkit-overstep/
Jul 17th 2025, 11:23
by Absenta Mia
Ένας κακόβουλος παράγοντας έχει αναπτύξει ένα άγνωστο μέχρι πρότινος rootkit με την ονομασία OVERSTEP, το οποίο τροποποιεί τη διαδικασία εκκίνησης συσκευών SonicWall Secure Mobile Access (SMA) που, αν και πλήρως ενημερωμένες, δεν υποστηρίζονται πλέον επίσημα.
Δείτε επίσης: SonicWall: Ψεύτικο NetExtender κλέβει VPN credentials
Το rootkit, επιτρέπει στους επιτιθέμενους να αποκρύπτουν κακόβουλα στοιχεία, να διατηρούν μόνιμη πρόσβαση στη συσκευή και να κλέβουν ευαίσθητα διαπιστευτήρια.
Ερευνητές της Google Threat Intelligence Group (GTIG) εντόπισαν το rootkit σε επιθέσεις που πιθανώς αξιοποίησαν «μια άγνωστη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα τύπου zero-day». Ο φορέας απειλής παρακολουθείται υπό την ονομασία UNC6148 και δραστηριοποιείται τουλάχιστον από τον περασμένο Οκτώβριο, με πιο πρόσφατο στόχο του στόχο να εντοπίζεται τον Μάιο.
Επειδή αρχεία που εκλάπησαν από τα θύματα δημοσιεύτηκαν αργότερα στον ιστότοπο διαρροής δεδομένων World Leaks, οι ερευνητές της GTIG εκτιμούν ότι η UNC6148 εμπλέκεται σε κλοπή δεδομένων και επιθέσεις εκβιασμού, ενώ ενδέχεται επίσης να χρησιμοποιεί το κακόβουλο λογισμικό Abyss ransomware (το οποίο η GTIG παρακολουθεί υπό την ονομασία VSOCIETY).
Οι χάκερς στοχεύουν συσκευές SonicWall SMA 100 Series που έχουν φτάσει στο τέλος της ζωής τους (End-of-Life, EoL) και παρέχουν ασφαλή απομακρυσμένη πρόσβαση σε εταιρικούς πόρους είτε στο τοπικό δίκτυο, είτε στο cloud, είτε σε υβριδικά datacenters.
Δείτε ακόμα: Ευπάθεια SonicWall SMA1000 επιτρέπει απομακρυσμένη πρόσβαση
Δεν είναι σαφές πώς οι επιτιθέμενοι απέκτησαν αρχική πρόσβαση, ωστόσο οι ερευνητές που ανέλυσαν τις επιθέσεις της ομάδας UNC6148 διαπίστωσαν ότι ο φορέας απειλής διέθετε ήδη διαπιστευτήρια τοπικού διαχειριστή στη στοχευμένη συσκευή. Από την ανάλυση των μεταδεδομένων της δικτυακής κίνησης, προέκυψαν ενδείξεις ότι τα διαπιστευτήρια είχαν κλαπεί ήδη από τον Ιανουάριο.
Συσκευές SonicWall SMA παραβιάστηκαν με το rootkit OVERSTEP
Πιθανώς να εκμεταλλεύτηκαν μία ή περισσότερες γνωστές ευπάθειες (n-day vulnerabilities), όπως οι:
CVE-2021-20038, CVE-2024-38475, CVE-2021-20035, CVE-2021-20039 και CVE-2025-32819 — με την παλαιότερη να έχει δημοσιοποιηθεί το 2021 και τη νεότερη τον Μάιο του 2025.
Από αυτές, οι χάκερς ενδέχεται να εκμεταλλεύτηκαν την CVE-2024-38475, καθώς επιτρέπει την απόκτηση "διαπιστευτηρίων διαχειριστή και έγκυρων session tokens" τα οποία η UNC6148 θα μπορούσε να επαναχρησιμοποιήσει.
Ωστόσο, οι αναλυτές περιστατικών της Mandiant (εταιρεία της Google) δεν κατόρθωσαν να επιβεβαιώσουν αν όντως έγινε εκμετάλλευση της συγκεκριμένης ευπάθειας από τον επιτιθέμενο.
Δείτε επίσης: Η SonicWall διόρθωσε τρεις σοβαρές ευπάθειες σε συσκευές SMA
Βάσει των παραπάνω, προκύπτει ένα ανησυχητικό μοτίβο στο πεδίο της κυβερνοασφάλειας: παρωχημένες συσκευές που δεν υποστηρίζονται πλέον από τον κατασκευαστή (όπως οι SonicWall SMA 100 Series σε κατάσταση End-of-Life) αποτελούν ελκυστικούς στόχους για προηγμένους φορείς απειλής όπως η ομάδα UNC6148.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz