I ricercatori del gruppo investigativo minaccioso di Google affermano che gli hacker stanno compromettendo le applicazioni di Smalwal Secure Mobile Access (SMA), che si trovano ai margini delle reti aziendali e gestiscono l’accesso tramite dispositivi mobili e l’accesso sicuro.
I dispositivi target sono la fine della vita, il che significa che non ricevono più aggiornamenti regolari per la stabilità e la protezione. Nonostante lo stato, molte aziende si affidano a loro. Ha rinunciato agli obiettivi principali dal loro UNC 6148, il nome di Google ha dato al gruppo di hacking sconosciuto.
“GTIG suggerisce che tutte le aziende, comprese le applicazioni SMA, eseguono analisi per determinare se sono state compromesse”, a Rapporto La minaccia di Google è stata pubblicata mercoledì utilizzando un riepilogo del gruppo di intelligence. “Le immagini del disco dovrebbero essere realizzate per l’analisi fornsic dell’organizzazione per evitare di interferire dalla Fertilità anti-Fertilità. L’organizzazione deve essere coinvolta con Sonalwal per catturare le immagini del disco dalle apparecchiature fisiche.”
Carenza
Molti dettagli originali rimangono sconosciuti. Come argomento, gli attacchi utilizzano i certificati dell’amministratore locale sui dispositivi target e finora nessuno sa come sono state ottenute le credenziali. Inoltre, non è noto se l’UNC 6148 stia assorbendo le debolezze. Gli aggressori non sono anche chiaramente poco chiari di ciò che sta facendo dopo aver preso il controllo di un dispositivo.
La mancanza di dettagli è fondamentalmente il risultato della funzionalità del Overstepe, il malware di backdoor personalizzato viene installato dopo l’accordo iniziale del nome UNC 6148. Overseas ha permesso agli invasori di rimuovere le voci di registro, una tecnica che ostacola l’indagine forense. Il rapporto di mercoledì è stato inoltre pubblicato che gli aggressori potevano essere equipaggiati con sfruttamento zero-day, il che significa che è attualmente una debolezza del pubblico sconosciuto. Possibili punti deboli possono causare assorbimento UNC 6148:
- CVE-2021-20038: un’esecuzione di codice remoto non autorizzato è possibile dalla debolezza di una corruzione della memoria.
- CVE -2024-38475: una debolezza di attraversamento del percorso sconosciuta presente sul server Apache HTTP, che è presente in SMA 100, può essere utilizzato per trovare i certificati dell’account dell’utente, i token di sessione e i valori di seme per conservare due database SCLight separati.
- CVE -2021-20035: una debolezza di esecuzione del codice remoto autenticata. L’agenzia di sicurezza Arctic Wolf e Sonalwal hanno riferito ad aprile che la debolezza era sotto sfruttamento attivo.
- CVE -2021-20039: una debolezza di esecuzione del codice remoto autenticata. È stato riferito che questa debolezza era sotto sfruttamento attivo per l’installazione di ranswear nel 2021.
- CV-2025-32819: Elimina di un file autenticato è una debolezza che un dispositivo target può essere assorbito per tornare all’amministratore integrato per tornare a una password in modo che gli aggressori possano raggiungere l’accesso all’amministratore.
