脅威アクターが、完全にパッチが適用されているものの、既にサポートが終了したSonicWall Secure Mobile Accessアプライアンスのブートプロセスを改変する、これまで確認されていなかったマルウェア「OVERSTEP」を展開しています。
このバックドアはユーザーモードのルートキットであり、ハッカーが悪意のあるコンポーネントを隠し、デバイスへの永続的なアクセスを維持し、機密性の高い認証情報を盗むことを可能にします。
Google Threat Intelligence Group(GTIG)の研究者は、このルートキットが「未知のゼロデイリモートコード実行脆弱性」に依存していた可能性がある攻撃で観測されたと報告しています。
この脅威アクターはUNC6148として追跡されており、少なくとも昨年10月から活動しており、直近では5月にも組織が標的となっています。
被害者から盗まれたファイルが後にWorld Leaks(Hunters Internationalのリブランド)というデータリークサイトに公開されたため、GTIGの研究者はUNC6148がデータ窃取や恐喝攻撃に関与しており、Abyssランサムウェア(GTIGによる追跡名:VSOCIETY)も展開している可能性があると考えています。
ハッカーは準備万端
ハッカーは、エンタープライズリソースへの安全なリモートアクセスをローカルネットワーク、クラウド、またはハイブリッドデータセンターで提供する、サポート終了(EoL)となったSonicWall SMA 100シリーズデバイスを標的にしています。
ハッカーがどのようにして初期アクセスを得たのかは不明ですが、UNC6148の攻撃を調査した研究者は、脅威アクターが既に標的アプライアンスのローカル管理者認証情報を持っていたことに気付きました。
「GTIGは高い確信をもって、UNC6148が既知の脆弱性を悪用し、標的のSMAアプライアンスが最新ファームウェアバージョン(10.2.1.15-81sv)に更新される前に管理者認証情報を盗んだと評価しています」- Google Threat Intelligence Group
ネットワークトラフィックのメタデータを調べたところ、調査員はUNC6148が1月に標的アプライアンスの認証情報を盗んだことを示唆する証拠を発見しました。
複数のn-day脆弱性(CVE-2021-20038、CVE-2024-38475、CVE-2021-20035、CVE-2021-20039、CVE-2025-32819)がこの目的で悪用された可能性があり、最も古いものは2021年に公開され、最新のものは2025年5月のものです。
これらの中で、ハッカーはCVE-2024-38475を悪用した可能性があり、これは「UNC6148が再利用できるローカル管理者認証情報と有効なセッショントークンを提供する」ものです。
しかし、Mandiant(Googleの関連会社)のインシデント対応担当者は、攻撃者がこの脆弱性を悪用したことを確認できませんでした。
リバースシェルの謎
6月の攻撃では、UNC6148はローカル管理者認証情報を使い、SSL-VPNセッションを介して標的のSMA 100シリーズアプライアンスに接続しました。
ハッカーはリバースシェルを開始しましたが、本来これらのアプライアンスではシェルアクセスは設計上不可能なはずです。
SonicWallの製品セキュリティインシデント対応チーム(PSIRT)は、これがどのように可能だったのかを解明しようとしましたが、説明を見つけることができず、未知のセキュリティ問題の悪用が一因である可能性があります。
アプライアンス上でシェルアクセスを得た脅威アクターは、偵察やファイル操作活動を行い、ハッカーのIPアドレスを許可する新たなネットワークアクセス制御ポリシールールを含む設定をインポートしました。
OVERSTEPルートキットは痕跡を残さない
その後、UNC6148は一連のコマンドを通じてOVERSTEPルートキットを展開し、base64からバイナリをデコードして.ELFファイルとして設置しました。
「インストール後、攻撃者は手動でシステムログを消去し、アプライアンスを再起動してOVERSTEPバックドアを有効化しました」- Google Threat Intelligence Group
OVERSTEPはバックドアとして機能し、リバースシェルを確立し、ホストからパスワードを盗みます。また、ユーザーモードのルートキット機能を実装し、ホスト上で自身のコンポーネントを隠蔽します。
ルートキットコンポーネントは、動的実行ファイルが起動するたびに悪意のあるコードを読み込み・実行することで、脅威アクターに長期的な永続性を与えました。
OVERSTEPのアンチフォレンジック機能により、攻撃者はログエントリを選択的に削除して痕跡を隠すことができます。この機能と、ディスク上にコマンド履歴が残らないことにより、研究者は侵害後の脅威アクターの活動を把握できませんでした。
しかし、GTIGはOVERSTEPがpersist.dbデータベースや証明書ファイルなどの機密ファイルを盗むことができ、これによりハッカーが認証情報、OTPシード、永続性を可能にする証明書へアクセスできると警告しています。
研究者はUNC6148の攻撃の真の目的を特定できていませんが、この脅威アクターの活動とAbyss関連ランサムウェアが展開されたインシデントの分析に「注目すべき重複」があると強調しています。
2023年末、Truesecの研究者は、ハッカーがSMAアプライアンスにウェブシェルを展開し、隠蔽機能を持たせ、ファームウェアアップデートをまたいで永続性を確立した後に発生したAbyssランサムウェアのインシデントを調査しました。
数か月後の2024年3月、InfoGuard AGのインシデント対応担当者Stephan Bergerは、同じAbyssマルウェアの展開で終わったSMAデバイスの類似した侵害について投稿を公開しました。
SMAアプライアンスを持つ組織は、ディスクイメージを取得してデバイスが侵害されていないか確認することが推奨されており、これによりルートキットによる干渉を防ぐことができます。
GTIGは、デバイスがハッキングされたかどうかを判断するためにアナリストが確認すべき兆候とともに、侵害の指標セットを提供しています。
2025年の8つの一般的な脅威
クラウド攻撃がますます高度化している一方で、攻撃者は驚くほど単純な手法でも成功しています。
Wizが数千の組織から検知したデータをもとに、このレポートではクラウドに精通した脅威アクターが使う8つの主要な手法を明らかにします。