Er is een cluster voor bedreigingsactiviteiten waargenomen gericht op een volledig afgestemde einde van de levensduur Sonicwall Secure Mobile Access (SMA) 100-serie apparaten als onderdeel van een campagne die is ontworpen om een achterdeur te laten vallen genaamd Overstappen.
De kwaadaardige activiteit, die teruggaat tot ten minste oktober 2024, is door de Google Threat Intelligence Group (GTIG) toegeschreven aan een groep die het volgt als UNC6148. Het aantal bekende slachtoffers is in dit stadium “beperkt”.
De tech-gigant beoordeelde met veel vertrouwen dat de dreigingsacteur “gebruikmakend van referenties en eenmalige wachtwoord (OTP) zaden is gestolen tijdens eerdere intrusies, waardoor ze toegang kunnen krijgen, zelfs nadat organisaties beveiligingsupdates hebben toegepast.”
“Analyse van netwerkverkeersmetadata -records suggereert dat UNC6148 deze referenties in eerste instantie al in januari 2025 van het SMA -apparaat heeft geëxfiltreerd.”
De exacte initiële toegangsvector die wordt gebruikt om de malware te leveren, is momenteel niet bekend vanwege de stappen die de dreigingsactoren hebben genomen om logboekvermeldingen te verwijderen. Maar er wordt aangenomen dat de toegang mogelijk is verkregen door de exploitatie van bekende beveiligingsfouten zoals CVE-2011-20035, CVE-2021-20038, CVE-201021-20039, CVE-2014-38475 of CVE-2025-32819.
Als alternatief theoretiseerde het dreigings-intelligentieteam van de tech-reus dat de referenties van de beheerder hadden kunnen worden verkregen door middel van informatie-stelen of verkregen van de marktplaatsen. Het zei echter dat het geen enkel bewijs vond om een back -up van deze hypothese te ondersteunen.
Bij het verkrijgen van toegang zijn de dreigingsacteurs gevonden om een SSL-VPN-sessie op te zetten en een omgekeerde schaal te spawnen, hoewel hoe dit werd bereikt een mysterie blijft, aangezien de toegang tot de schaal niet mogelijk zou moeten zijn door ontwerp op deze apparaten. Er wordt aangenomen dat het mogelijk is afgetrokken door middel van een zero-day fout.
De reverse shell wordt gebruikt om verkennings- en bestandsmanipulatieopdrachten uit te voeren, en niet te vergeten de export- en importinstellingen naar het SMA -apparaat, wat suggereert dat UNC6148 mogelijk een exporteerd instellingenbestand offline heeft gewijzigd om nieuwe regels op te nemen zodat hun bewerkingen niet worden onderbroken of geblokkeerd door de toegangsgateways.
De aanvallen culmineren in de inzet van een eerder implantaat zonder papieren genaamd Overstep dat in staat is het opstartproces van het apparaat te wijzigen om persistente toegang te handhaven, evenals diefstal van referenties en het verbergen van zijn eigen componenten om detectie te ontwijken door verschillende bestandssysteemgerelateerde functies te patchen.
Dit wordt bereikt door een gebruikersmode rootkit te implementeren via de gekaapte standaardbibliotheekfuncties Open en ReadDir, waardoor het de artefacten kan verbergen die aan de aanval zijn gekoppeld. De malware haakt ook in de Write API -functie om opdrachten van een aanvallergestuurde server te ontvangen in de vorm van ingebed in webverzoeken –
- DoBackshelldie een omgekeerde shell start naar het opgegeven IP -adres en poort
- dopasswordsdie een tar -archief van de bestanden /tmp/temp.db, /etc/easyaccess/var/conf/persist.db en/etc/easyAccess/var/cert maakt, en opslaan in de locatie “/src/src/src/easyAccess/www/htdocs/” Dus dat het kan worden gedownload via een webbrowser/”dus dat het kan worden gedownload via een webbrowser/” dus dat het kan worden gedownload via een webbrowser/”zodat het kan worden gedownload via een webbrowser
“UNC6148 heeft het legitieme RC -bestand ‘/etc/rc.d/rc.fwboot’ gewijzigd om persistentie te bereiken voor overstap,” zei Gtig. “De veranderingen betekenden dat wanneer het apparaat opnieuw werd opgestart, het overstap binaire getal zou worden geladen in het lopende bestandssysteem op het apparaat.”
Zodra de implementatiestap is voltooid, gaat de dreigingsacteur vervolgens de systeemlogboeken wissen en de firewall opnieuw opstart om de uitvoering van de op C gebaseerde achterdeur te activeren. De malware probeert ook de opdrachtuitvoersporen van verschillende logbestanden, waaronder httpd.log, http_request.log en inotify.log te verwijderen.
“Het succes van de acteur bij het verbergen van hun tracks is grotendeels te wijten aan de mogelijkheid van Overstep om selectief logboekitries te verwijderen (uit de drie logbestanden),” zei Google. “Deze anti-forensische maatregel, gecombineerd met een gebrek aan shell-geschiedenis op schijf, vermindert de zichtbaarheid aanzienlijk in de secundaire doelstellingen van de acteur.”
Google heeft met medium vertrouwen geëvalueerd dat UNC6148 mogelijk een onbekende, nul-daagse externe code-uitvoeringskwetsbaarheid heeft bewapend om overstap te implementeren op gerichte Sonicwall SMA-apparaten. Bovendien wordt vermoed dat de bewerkingen worden uitgevoerd met de bedoeling om gegevensdiefstal en afpersing te vergemakkelijken, en zelfs ransomware -implementatie.
Deze connectie komt voort uit het feit dat een van de organisaties die door UNC6148 was gericht, werd geplaatst op de gegevensleksite die wordt beheerd door World Lekken, een afpersingsbende die werd gerund door personen die eerder werden geassocieerd met het Hunters International Ransomware -schema. Het is vermeldenswaard dat Hunters International onlangs zijn criminele onderneming heeft gesloten.
Volgens Google vertoont UNC6148 tactische overlappingen met eerdere exploitatie van Sonicwall SMA -apparaten waargenomen in juli 2023 waarbij een onbekende dreigingsacteur betrokken was bij het implementeren van een webshell, een verborgen mechanisme en een manier om persistentie te garanderen over firmware -upgrades, per Truesec.
De exploitatieactiviteit werd vervolgens verbonden door beveiligingsonderzoeker Stephan Berger aan de inzet van de Abyss -ransomware.
De bevindingen benadrukken opnieuw hoe bedreigingsactoren zich in toenemende mate concentreren op randnetwerksystemen die meestal niet worden behandeld door gemeenschappelijke beveiligingshulpmiddelen zoals eindpuntdetectie en respons (EDR) of antivirussoftware en onopgemerkt in doelnetwerken glijden.
“Organisaties moeten schijfafbeeldingen verwerven voor forensische analyse om interferentie uit de Rootkit-anti-forensische mogelijkheden te voorkomen. Organisaties moeten mogelijk met Sonicwall omgaan om schijfbeelden van fysieke apparaten vast te leggen,” zei Google.
