脅威活動クラスターが、サポート終了となったSonicWall Secure Mobile Access(SMA)100シリーズ機器の完全にパッチ適用済みのアプライアンスを標的とし、OVERSTEPと呼ばれるバックドアを設置するキャンペーンの一環として観測されています。
この悪意ある活動は、少なくとも2024年10月まで遡り、Google Threat Intelligence Group(GTIG)によってUNC6148というグループの仕業であると特定されています。
テックジャイアントは、高い確信をもって「脅威アクターは、過去の侵入時に盗まれた認証情報やワンタイムパスワード(OTP)シードを利用しており、組織がセキュリティアップデートを適用した後でも再びアクセスできる」と評価しています。
「ネットワークトラフィックのメタデータ記録の分析から、UNC6148は早ければ2025年1月にもこれらの認証情報をSMAアプライアンスから流出させていた可能性が示唆されています。」
マルウェアを配布するために使用された正確な初期アクセス経路は、脅威アクターがログエントリを削除したため現在は不明です。しかし、CVE-2021-20035、CVE-2021-20038、CVE-2021-20039、CVE-2024-38475、またはCVE-2025-32819など、既知のセキュリティ脆弱性の悪用によってアクセスが得られた可能性があると考えられています。
また、テックジャイアントの脅威インテリジェンスチームは、管理者の認証情報が情報窃取ログを通じて入手されたか、認証情報マーケットプレイスから取得された可能性もあると推測しています。しかし、この仮説を裏付ける証拠は見つかりませんでした。
アクセスを得た後、脅威アクターはSSL-VPNセッションを確立し、リバースシェルを起動していたことが判明していますが、これがどのように実現されたかは依然として謎です。なぜなら、これらのアプライアンスでは設計上シェルアクセスができないはずだからです。ゼロデイ脆弱性によって実行された可能性があると考えられています。
リバースシェルは、偵察やファイル操作コマンドの実行、さらにSMAアプライアンスへの設定のエクスポートやインポートにも使用されており、UNC6148がオフラインでエクスポートされた設定ファイルを改変し、新しいルールを追加することで、アクセスゲートウェイによる妨害や遮断を回避している可能性が示唆されています。
攻撃は、以前は文書化されていなかったOVERSTEPというインプラントの展開で最高潮に達します。これは、アプライアンスのブートプロセスを改変して永続的なアクセスを維持し、認証情報の窃取や自身のコンポーネントの隠蔽による検知回避(ファイルシステム関連の各種関数のパッチ適用)も可能です。
これは、乗っ取った標準ライブラリ関数openやreaddirを使ってユーザーモードルートキットを実装することで実現されており、攻撃に関連する痕跡を隠すことができます。また、マルウェアはwrite API関数にもフックし、攻撃者が制御するサーバーからWebリクエストに埋め込まれたコマンドを受信します-
- dobackshell:指定されたIPアドレスとポートにリバースシェルを開始する
- dopasswords:/tmp/temp.db、/etc/EasyAccess/var/conf/persist.db、/etc/EasyAccess/var/certのファイルをTARアーカイブ化し、「/usr/src/EasyAccess/www/htdocs/」に保存してWebブラウザ経由でダウンロードできるようにする
「UNC6148は、正規のRCファイル『/etc/rc.d/rc.fwboot』を改変し、OVERSTEPの永続化を実現しました」とGTIGは述べています。「この変更により、アプライアンスが再起動されるたびに、OVERSTEPバイナリがアプライアンスの稼働中のファイルシステムにロードされることになります。」
展開ステップが完了すると、脅威アクターはシステムログを消去し、ファイアウォールを再起動してC言語ベースのバックドアの実行を有効化します。マルウェアはまた、httpd.log、http_request.log、inotify.logなど、さまざまなログファイルからコマンド実行の痕跡を削除しようとします。
「アクターが痕跡を隠すことに成功したのは、主にOVERSTEPが[これら3つのログファイル]から選択的にログエントリを削除できる能力によるものです」とGoogleは述べています。「このアンチフォレンジック対策と、ディスク上にシェル履歴が存在しないことが相まって、アクターの二次的な目的についての可視性を大きく低減させています。」
Googleは、中程度の確信をもって、UNC6148が未知のゼロデイリモートコード実行脆弱性を武器化し、標的となったSonicWall SMAアプライアンスにOVERSTEPを展開した可能性があると評価しています。さらに、これらの活動はデータ窃取や恐喝、さらにはランサムウェア展開を目的としていると疑われています。
この関連性は、UNC6148に標的にされた組織の1つが、かつてHunters Internationalランサムウェアスキームに関与していた人物が運営する恐喝グループ「World Leaks」のデータリークサイトに掲載されたことに由来します。なお、Hunters Internationalは最近、その犯罪活動を停止しています。
Googleによれば、UNC6148は2023年7月に観測されたSonicWall SMA機器の過去の悪用事例と戦術的な類似点を示しており、未知の脅威アクターがWebシェル、隠蔽メカニズム、ファームウェアアップグレードをまたいだ永続化手段を展開していたと、Truesecは報告しています。
この悪用活動は、その後セキュリティ研究者Stephan BergerによってAbyssランサムウェアの展開と関連付けられました。
これらの発見は、脅威アクターがエンドポイント検知&対応(EDR)やアンチウイルスソフトなどの一般的なセキュリティツールでカバーされないエッジネットワークシステムにますます注目し、標的ネットワークに気付かれずに侵入していることを改めて浮き彫りにしています。
「組織は、ルートキットのアンチフォレンジック機能による妨害を避けるため、フォレンジック分析用にディスクイメージを取得する必要があります。物理アプライアンスからディスクイメージを取得するには、SonicWallと連携する必要がある場合があります」とGoogleは述べています。
翻訳元: https://thehackernews.com/2025/07/unc6148-backdoors-fully-patched.html