Um cluster de atividades maliciosas foi observado visando dispositivos SonicWall Secure Mobile Access (SMA) da série 100 totalmente atualizados e no final de seu ciclo de vida, como parte de uma campanha projetada para instalar uma backdoor denominada OVERSTEP.
A atividade maliciosa, datada desde pelo menos outubro de 2024, foi atribuída pelo Google Threat Intelligence Group (GTIG) a um grupo que ele monitora como UNC6148.
O gigante da tecnologia avaliou com alta confiança que o ator de ameaças está "se aproveitando de credenciais e sementes de senhas de uso único (OTP) roubadas durante intrusões anteriores, permitindo que eles recuperem o acesso mesmo depois que as organizações aplicaram atualizações de segurança."
Análise de metadados de tráfego de rede sugere que UNC6148 pode ter inicialmente exfiltrado essas credenciais do dispositivo SMA tão cedo quanto janeiro de 2025.
O vetor de acesso inicial exato usado para entregar o malware atualmente não é conhecido devido às medidas tomadas pelos atores da ameaça para remover entradas de log.
Mas, acredita-se que o acesso pode ter sido obtido através da exploração de falhas de segurança conhecidas, como
CVE-2021-20035
,
CVE-2021-20038
,
CVE-2021-20039
,
CVE-2024-38475
, ou
CVE-2025-32819
.
Alternativamente, a equipe de inteligência de ameaças da gigante da tecnologia teorizou que as credenciais do administrador poderiam ter sido obtidas através de logs de roubo de informação ou adquiridas de mercados de credenciais.
No entanto, ela disse que não encontrou nenhuma evidência para respaldar essa hipótese.
Ao ganhar acesso, descobriu-se que os atores da ameaça estabelecem uma sessão SSL-VPN e geram um reverse shell, embora como isso foi alcançado permaneça um mistério, dado que o acesso ao shell não deveria ser possível por design nesses dispositivos.
Acredita-se que isso pode ter sido realizado por meio de uma falha zero-day.
O reverse shell é usado para executar comandos de reconhecimento e manipulação de arquivos, sem mencionar exportar e importar configurações para o dispositivo SMA, sugerindo que UNC6148 pode ter alterado um arquivo de configurações exportadas offline para incluir novas regras para que suas operações não sejam interrompidas ou bloqueadas pelos gateways de acesso.
Os ataques culminam com a implantação de um implante anteriormente não documentado chamado OVERSTEP, capaz de modificar o processo de inicialização do dispositivo para manter acesso persistente, além de roubo de credenciais e ocultação de seus próprios componentes para evitar a detecção ao corrigir várias funções relacionadas ao sistema de arquivos.
Isso é alcançado implementando um rootkit em modo usuário através das funções padrão sequestradas open e readdir, permitindo que ele oculte os artefatos associados ao ataque.
O malware também se conecta à função API write para receber comandos de um servidor controlado pelo atacante na forma de embutido dentro de solicitações web:
- dobackshell, que inicia um reverse shell para o endereço IP e porta especificados;
- dopasswords, que cria um arquivo TAR dos arquivos /tmp/temp.db, /etc/EasyAccess/var/conf/persist.db e /etc/EasyAccess/var/cert, e salva no local "/usr/src/EasyAccess/www/htdocs/" para que possa ser baixado via navegador web
"UNC6148 modificou o arquivo RC legítimo '/etc/rc.d/rc.fwboot' para alcançar persistência para OVERSTEP", disse o GTIG.
As mudanças significaram que sempre que o dispositivo fosse reiniciado, o binário OVERSTEP seria carregado no sistema de arquivos em execução no dispositivo.
Uma vez que a etapa de implantação esteja completa, o ator da ameaça então procede para limpar os registros do sistema e reinicia o firewall para ativar a execução da backdoor baseada em C.
O malware também tenta remover os rastros de execução de comandos de diferentes arquivos de log, incluindo httpd.log, http_request.log e inotify.log.
"O sucesso do ator em esconder seus rastros é em grande parte devido à capacidade do OVERSTEP de excluir seletivamente entradas de log [dos três arquivos de log]", disse o Google.
"Esta medida anti-forense, combinada com a falta de histórico de shell no disco, reduz significativamente a visibilidade dos objetivos secundários do ator."
O Google avaliou com média confiança que UNC6148 pode ter usado uma vulnerabilidade desconhecida de execução remota de código zero-day para implantar OVERSTEP em dispositivos SonicWall SMA visados.
Além disso, suspeita-se que as operações sejam realizadas com a intenção de facilitar operações de roubo de dados e extorsão, e até mesmo a implantação de ransomware.
Esta conexão decorre do fato de que uma das organizações que foram alvo de UNC6148 foi postada no site de vazamento de dados operado por World Leaks, uma gangue de extorsão liderada por indivíduos anteriormente associados ao esquema de ransomware Hunters International.
Vale ressaltar que Hunters International encerrou recentemente sua empreitada criminosa.
De acordo com o Google, UNC6148 exibe sobreposições táticas com explorações anteriores de dispositivos SonicWall SMA observadas em julho de 2023 que envolveram um ator de ameaça desconhecido implantando um web shell, um mecanismo de ocultação e uma maneira de garantir persistência através de upgrades de firmware, conforme Truesec.
A atividade de exploração foi posteriormente vinculada pelo pesquisador de segurança Stephan Berger à implantação do ransomware Abyss.
As descobertas mais uma vez destacam como os atores de ameaças estão cada vez mais focando em sistemas de rede periférica que geralmente não são cobertos por ferramentas comuns de segurança como Endpoint Detection and Response (EDR) ou software antivírus e se infiltram em redes alvo sem serem notados.
"As organizações devem adquirir imagens de disco para análise forense a fim de evitar interferência das capacidades anti-forenses do rootkit.
As organizações podem precisar se engajar com a SonicWall para capturar imagens de disco de dispositivos físicos", disse o Google.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...