Googleの脅威インテリジェンスグループは水曜日、金銭目的の可能性がある脅威アクターがSonicWallアプライアンスを新たなマルウェアで標的にしていると警告しました。
GoogleがUNC6148として追跡しているこの脅威アクターは、少なくとも2024年10月から活動しています。ハッカーのマルウェアはデータ窃取、恐喝、ランサムウェアの展開を可能にしますが、研究者たちは彼らが金銭目的であることを決定的に確認できていません。
国家支援のハッカー攻撃と金銭目的のサイバー犯罪の境界線がますます曖昧になってきている点は注目に値します。
UNC6148は、SonicWallのSecure Mobile Access(SMA)100シリーズのリモートアクセスアプライアンスを標的にしていることが観測されています。Googleの脅威インテリジェンスグループは、標的となった組織が限られていることを把握しており、初期アクセスの経路は特定できていません。
GoogleのMandiant部門によるインシデント対応調査によると、侵害されたSonicWallデバイスは完全にパッチが適用されていました。しかし、研究者たちは初期アクセスにSonicWall SMA 100のゼロデイが悪用されたとは考えていません。
その代わりに、攻撃者は既知の複数の脆弱性のいずれかを以前に悪用してローカル管理者の認証情報を取得し、その後、デバイスにアクセスするためにそれらの認証情報を使用したと考えられています。たとえその間に完全にパッチが適用されていたとしてもです。
UNC6148は、標的となったSMAアプライアンスの管理者認証情報を取得するために選択できる脆弱性が多数ありました。例えば、CVE-2025-32819、CVE-2024-38475、CVE-2021-20035、CVE-2021-20038、およびCVE-2021-20039などです。これらのセキュリティホールはすべて、実際に悪用されていることが知られています。
取得した認証情報を使い、攻撃者は標的となったSMAアプライアンス上でSSL-VPNセッションを確立し、リバースシェルを起動しました。
広告。スクロールして読み続けてください。
「これらのアプライアンスでは設計上、シェルアクセスは本来不可能なはずですが、MandiantとSonicWall製品セキュリティインシデント対応チーム(PSIRT)による共同調査でも、UNC6148がどのようにしてこのリバースシェルを確立したのかは特定できませんでした」とGoogleは説明しています。「UNC6148が未知の脆弱性を悪用してリバースシェルを確立した可能性があります。」
攻撃者は侵害されたシステムで偵察を行った後、Overstepと名付けられたこれまで知られていなかったマルウェアを展開しました。
このマルウェアは、永続的なバックドアおよびユーザーモードのルートキットとして説明されており、侵害されたデバイスのブートプロセスを密かに変更して永続化を実現します。Overstepは、認証情報、セッショントークン、ワンタイムパスワードのシードの窃取を可能にします。
しかし、脅威アクターがログファイルの削除などで痕跡を隠そうとしたため、Googleの研究者たちは侵害されたデバイス上で顕著な活動を特定できませんでした。
攻撃者が侵害したSonicWallデバイスへのアクセスを収益化しようとしている明確な証拠はありませんが、研究者たちはWorld Leaks(Hunters Internationalランサムウェアオペレーションの後継)や他のランサムウェアとの関連をいくつか発見しています。SonicWallデバイスがランサムウェアグループの標的になることは珍しくありません。
Googleは、組織がUNC6148の攻撃を特定・防御できるように、侵害の兆候(IoC)および検出ルールを共有しています。
翻訳元: https://www.securityweek.com/sonicwall-sma-appliances-targeted-with-new-overstep-malware/