Злоумышленник внедряет ранее неизвестную вредоносную программу под названием OVERSTEP, которая изменяет процесс загрузки полностью исправленных, но больше не поддерживаемых устройств SonicWall Secure Mobile Access.
Бэкдор представляет собой руткит пользовательского режима, который позволяет хакерам скрывать вредоносные компоненты, поддерживать постоянный доступ к устройству и красть конфиденциальные учетные данные.
Исследователи из Google Threat Intelligence Group (GTIG) обнаружили руткит в атаках, которые могли быть основаны на «неизвестной уязвимости удаленного выполнения кода нулевого дня».
Злоумышленник отслеживается как UNC6148 и действует как минимум с октября прошлого года, а одна из организаций подверглась нападкам еще в мае.
Поскольку файлы, украденные у жертвы, впоследствии были опубликованы на сайте утечки данных World Leaks ( ), исследователи GTIG полагают, что UNC6148 занимается кражей данных и вымогательством, а также может использовать вирус-вымогатель Abyss (отслеживаемый GTIG как VSOCIETY).
Хакеры приходят подготовленными
Целью хакеров являются снятые с производства устройства серии SonicWall SMA 100, которые обеспечивают безопасный удаленный доступ к корпоративным ресурсам в локальной сети, в облаке или гибридных центрах обработки данных.
Неясно, как хакеры получили первоначальный доступ, но исследователи, расследующие атаки UNC6148, заметили, что у злоумышленника уже были учетные данные локального администратора на целевом устройстве.
«GTIG с высокой степенью уверенности оценивает, что UNC6148 использовал известную уязвимость для кражи учётных данных администратора до обновления целевого устройства SMA до последней версии прошивки (10.2.1.15-81sv)» — Google Threat Intelligence Group
Изучив метаданные сетевого трафика, следователи обнаружили доказательства, указывающие на то, что UNC6148 похитил учетные данные целевого устройства в январе.
Для этой цели могли быть использованы многочисленные n-дневные уязвимости ( , , , , ), самая старая из которых была раскрыта в 2021 году, а самая последняя — в мае 2025 года.
Из них хакеры могли использовать уязвимость CVE-2024-38475, поскольку она предоставляет «локальные учетные данные администратора и действительные токены сеанса, которые UNC6148 может использовать повторно».
Однако специалисты по реагированию на инциденты из Mandiant (компании Google) не смогли подтвердить, что злоумышленник воспользовался уязвимостью.
Тайна обратной оболочки
В ходе атаки в июне UNC6148 использовал учетные данные локального администратора для подключения к целевому устройству серии SMA 100 через сеанс SSL-VPN.
Хакеры запустили обратный шелл, хотя доступ к шеллу на этих устройствах по замыслу не должен быть возможен.
Группа реагирования на инциденты безопасности продуктов SonicWall (PSIRT) попыталась выяснить, как это стало возможным, но не смогла дать объяснения. Одним из ответов могла быть эксплуатация неизвестной уязвимости безопасности.
Получив доступ к оболочке устройства, злоумышленник провел разведывательную деятельность и манипуляции с файлами, а также импортировал настройки, включавшие новые правила политики управления сетевым доступом, разрешающие использование IP-адресов хакера.
Руткит OVERSTEP не оставляет следов
После этого UNC6148 развернул руткит OVERSTEP с помощью серии команд, которые декодировали двоичный файл из base64 и внедрили его в виде файла .ELF.
«После установки злоумышленник вручную очистил системные журналы, прежде чем перезапустить устройство, активировав бэкдор OVERSTEP» — Google Threat Intelligence Group
OVERSTEP действует как бэкдор, который устанавливает обратный шелл и похищает пароли с хоста. Он также реализует возможности руткита пользовательского режима, чтобы скрыть свои компоненты на хосте.
Компонент руткита обеспечивал злоумышленнику долгосрочное существование за счет загрузки и выполнения вредоносного кода при каждом запуске динамического исполняемого файла.
Функция противодействия криминалистическому анализу OVERSTEP позволяет злоумышленнику выборочно удалять записи журнала, тем самым заметая следы. Эта возможность, а также отсутствие истории команд на диске не позволили исследователям оценить действия злоумышленника после компрометации.
Однако GTIG предупреждает, что OVERSTEP может украсть конфиденциальные файлы, такие как база данных persist.db и файлы сертификатов, что дает хакерам доступ к учетным данным, одноразовым паролям и сертификатам, которые обеспечивают сохранение.
Хотя исследователи не могут определить истинную цель атак UNC6148, они отмечают «примечательные совпадения» в деятельности этого злоумышленника и анализируют инциденты, в которых использовалось ПО-вымогательски связанное с Abyss.
В конце 2023 года исследователи Truesec инцидент с вымогательством Abyss, произошедший после того, как хакеры развернули веб-оболочку на устройстве SMA, спрятав механизм и обеспечив сохранение данных после обновлений прошивки.
Несколько месяцев спустя, в марте 2024 года, специалист по реагированию на инциденты компании InfoGuard AG Стефан Бергер описывающий аналогичную компрометацию устройства SMA, которая завершилась развертыванием того же вредоносного ПО Abyss.
Организациям, использующим устройства SMA, рекомендуется проверять устройства на предмет потенциальной угрозы путем получения образов дисков, что должно предотвратить вмешательство руткита.
GTIG предоставляет набор индикаторов взлома, а также признаки, на которые аналитикам следует обращать внимание, чтобы определить, было ли устройство взломано.
