脅威アクターが、完全にパッチが適用されているもののサポートが終了したSonicWall Secure Mobile Access 100アプライアンスを、少なくとも2024年10月から標的にしていると、Google Threat Intelligence Groupが水曜日に発表したレポートによって明らかになりました。
この脅威アクターはUNC6148として追跡されており、認証情報やワンタイムパスワードのシードを利用してデバイスにアクセスし、Googleの研究者が「Overstep」と呼ぶこれまで知られていなかったバックドアを展開しています。このマルウェアはSMA 100アプライアンスの起動プロセスを改変し、ハッカーが持続的なアクセスを維持したり、認証情報を窃取したり、コンポーネントを隠蔽したりできるようにします。
研究者によると、ハッカーはゼロデイのリモートコード実行脆弱性を利用して、標的となったアプライアンスにOverstepを展開した可能性があります。
Googleの研究者は、近年これらのデバイスが脅威アクターによって頻繁に標的にされていることから、ハッカーがこれらのデバイスに精通している可能性があると考えています。
「GTIGが最近観測したUNC6148の活動と、2023年以降に公に報告されているSonicWallの悪用活動との重複から、UNC6148はSonicWall SMA 100シリーズアプライアンスに対する侵入作戦の経験があると考えられます」と、GoogleのリサーチチームのシニアセキュリティエンジニアであるZander Work氏はCybersecurity Diveに語りました。
「Mandiantの最近の調査でアプライアンスに対して使用されたマルウェアや展開技術の高度さは、SMA 100シリーズのソフトウェアや機能に関する技術的な専門知識も示唆しています」とWork氏は付け加えました。
しかし、そのような精通が見られるにもかかわらず、研究者たちはこの活動と既知の脅威グループの過去のキャンペーンとの間に重複は見つけていません。
研究者たちは、最近数か月に公表された他の攻撃が今回新たに公開された活動と重複している可能性があるため、最新の活動によって影響を受けた組織の正確な数はまだ分かっていません。
GoogleはSonicWallと調査結果を共有しながら連携しており、同社はGTIGの調査協力に感謝を示しました。
「脅威の状況が進化していることを受け、透明性と顧客保護へのコミットメントに沿って、SonicWallはSMA 100のサポート終了日を前倒しする予定です」と同社の広報担当者はCybersecurity Diveに語りました。「SMA 100はすでに販売終了となっており、当社の製品ライフサイクル表に反映されています。この更新は当社の長期戦略および業界の方向性と一致しています。」
同社は今後数週間以内に、顧客やパートナー向けに詳細な緩和策ガイダンスを共有する予定だと述べています。
研究者たちは、脅威アクターがデータの窃取、ランサムウェアの展開、被害者への恐喝を試みている可能性があると警告しています。
最新情報をチェックしましょう。Cybersecurity Diveの無料デイリーニュースレターにご登録ください。
例えば、ハッカーは5月にある組織を標的にし、1か月後にWorld Leaksというデータリークサイトで攻撃に関する情報を公開したとGoogleは報告しています。また、新たに明らかになった脅威キャンペーンと、以前SonicWallの悪用によってAbyssランサムウェア(GoogleではVSocietyと呼称)が展開された事例との間にも重複が見られます。
研究者たちは、ハッカーが以下を含む複数の既知の脆弱性も悪用していると警告しています:CVE-2021-20038(認証されていないリモートコード実行につながるメモリ破損の脆弱性)、CVE-2024-38475(SMA 100に影響するApache HTTPサーバーの認証不要のパストラバーサル脆弱性)、CVE-2021-20035(SMA 100インターフェースにおける特殊要素の不適切な無害化)、CVE-2021-20039(SMA 100管理インターフェースにおける特殊要素の不適切な無害化)、およびCVE-2025-32819(認証済みファイル削除の脆弱性)。
Rapid7は5月にSMA 100シリーズアプライアンスにおける複数の脆弱性を公表し、SonicWallと協力して修正策を開発しました。