Các nhà nghiên cứu từ Google Threat Intelligence Group cho biết tin tặc đang xâm phạm các thiết bị SonicWall Secure Mobile Access (SMA), nằm ở rìa mạng doanh nghiệp và quản lý cũng như bảo mật quyền truy cập của thiết bị di động.
Các thiết bị được nhắm mục tiêu đã hết tuổi thọ, nghĩa là chúng không còn nhận được các bản cập nhật thường xuyên để đảm bảo tính ổn định và bảo mật. Bất chấp tình trạng này, nhiều tổ chức vẫn tiếp tục dựa vào chúng. Điều đó đã khiến họ trở thành mục tiêu hàng đầu của UNC6148, cái tên mà Google đã đặt cho nhóm hack không xác định.
“GTIG khuyến nghị tất cả các tổ chức có thiết bị SMA nên thực hiện phân tích để xác định xem chúng có bị xâm phạm hay không,” a báo cáo công bố hôm thứ Tư cho biết, sử dụng chữ viết tắt của Google Threat Intelligence Group. “Các tổ chức nên thu thập hình ảnh đĩa để phân tích pháp y nhằm tránh sự can thiệp từ khả năng chống pháp y của rootkit. Các tổ chức có thể cần tham gia với SonicWall để chụp ảnh đĩa từ các thiết bị vật lý.”
Thiếu chi tiết cụ thể
Nhiều chi tiết chính vẫn chưa được biết. Có một điều, các cuộc tấn công đang khai thác thông tin xác thực của quản trị viên cục bộ bị rò rỉ trên các thiết bị được nhắm mục tiêu và cho đến nay, không ai biết thông tin xác thực đó được lấy như thế nào. Nó cũng không biết những lỗ hổng UNC6148 đang khai thác. Nó cũng không rõ chính xác những gì những kẻ tấn công đang làm sau khi chúng kiểm soát một thiết b.
Việc thiếu thông tin chi tiết phần lớn là kết quả của hoạt động trên Overstep, tên của phần mềm độc hại cửa sau tùy chỉnh UNC6148 đang được cài đặt sau khi thiết bị bị xâm phạm ban đầu. Overstep cho phép những kẻ tấn công loại bỏ có chọn lọc các mục nhật ký, một kỹ thuật đang cản trở việc điều tra pháp y. Báo cáo hôm thứ Tư cũng thừa nhận rằng những kẻ tấn công có thể được trang bị một khai thác zero-day, có nghĩa là nó nhắm vào một lỗ hổng mà hiện chưa được công khai. Các lỗ hổng có thể UNC6148 có thể đang khai thác bao gồm:
- CVE-2021-20038: Việc thực thi mã từ xa không được xác thực có thể xảy ra do lỗ hổng hỏng bộ nhớ.
- CVE-2024-38475: Lỗ hổng truyền tải đường dẫn không được xác thực trong Máy chủ HTTP Apache, hiện diện trong SMA 100. Nó có thể được khai thác để trích xuất hai cơ sở dữ liệu SQLite riêng biệt lưu trữ thông tin xác thực tài khoản người dùng, mã thông báo phiên và giá trị hạt giống để tạo mật khẩu một lần.
- CVE-2021-20035: Lỗ hổng thực thi mã từ xa được xác thực. Công ty bảo mật Arctic Wolf và SonicWall đã báo cáo vào tháng 4 rằng lỗ hổng này đang được khai thác tích cực.
- CVE-2021-20039: Lỗ hổng thực thi mã từ xa được xác thực. Đã có báo cáo cho rằng lỗ hổng này đang được khai thác tích cực để cài đặt ransomware vào năm 2024.
- CVE-2025-32819: Một lỗ hổng xóa tệp đã được xác thực có thể bị khai thác để khiến thiết bị mục tiêu hoàn nguyên thông tin xác thực của quản trị viên tích hợp thành mật khẩu để kẻ tấn công có thể giành quyền truy cập của quản trị viên.
