出典:BeeBright(Shutterstock経由)
Abyssランサムウェアキャンペーンに関連する脅威アクターが、完全にパッチが適用されたサポート終了済みのSonicWall Secure Mobile Access(SMA)100シリーズ機器に、新たなステルス型バックドアを仕込むためにゼロデイ脆弱性を悪用している可能性があります。
このキャンペーンを特に危険なものにしているのは、攻撃者が過去の侵入で盗んだローカル管理者の認証情報やワンタイムパスワードのシードを利用している点であり、組織は繰り返し攻撃を受けるリスクにさらされています。
GoogleのThreat Intelligence Group(GTIG)の研究者たちは、攻撃者がどのようにしてこれらの認証情報を収集しているのかをまだ調査中ですが、犯罪者が他の既知のSonicWallの脆弱性を悪用して初期アクセスを得ている可能性があると疑っています。
『Overstep』:高度な新型バックドア
このキャンペーンの最終的な目的は、データ窃取、恐喝、ランサムウェアの展開であるとみられます。GTIGはこの脅威クラスターをUNC6148として追跡しており、これはまだ情報収集中の未分類の侵入活動を示すフォーマットです。利用可能なテレメトリによると、今回のキャンペーンに関連する悪意ある活動は早ければ2024年10月には始まっていた可能性があります。
「この新たな活動の波では、攻撃者はこれまで知られていなかった永続的なバックドア/ユーザーモードルートキットを展開しており、GTIGはこれをOverstepとして追跡しています」とGoogleは今週のキャンペーン分析で述べています。「我々の分析によると、このマルウェアはアプライアンスの起動プロセスを改変し、永続的なアクセスを維持し、機密認証情報を窃取し、自身のコンポーネントを隠蔽します。」
SonicWallのSMAのようなネットワークゲートウェイ機器は、攻撃者にとって人気の標的です。これらはしばしば企業ネットワークへの重要なアクセスポイントとして機能し、従業員や管理者にリモートアクセスを提供します。ハッカーにとって、SonicWall SMAのようなゲートウェイを侵害することは、価値の高い内部システムや機密データへのアクセス、ランサムウェア展開の機会をもたらします。ソフトウェアやハードウェアが古くなりサポート終了となると、セキュリティチームが脆弱性や脅威への対応を後回しにしがちなため、問題はさらに深刻化します。
影響を受けている可能性のある機器を使用している組織は、侵害の兆候がないか調査する必要があります。特に、Arctic Wolfが4月に認証情報窃取キャンペーンで脅威アクターが悪用していたCVE-2021-20035(認証済みRCE脆弱性)の影響を受けていた場合は、なおさら重要です。GTIGは、攻撃者がシステムを侵害した後に証拠隠滅を図っていないか確認するため、必要に応じてSonicWallの支援を受けつつディスクイメージのフォレンジック分析も行うべきだと指摘しています。
不明な初期アクセス経路
Dark Readingへのコメントで、GTIGのシニアセキュリティエンジニアであるZander Work氏は、現時点ではUNC6148がどのようにして管理者の認証情報を入手して攻撃に利用しているのかは不明だと述べています。
GTIGのレポート自体には、CVE-2021-20035に加え、攻撃者が利用している可能性のあるSMA 100シリーズ機器の既知の複数の脆弱性が記載されています。これには、SMA 100機器のメモリ破損RCEであるCVE-2021-20038、今年初めにCISAが既知の悪用脆弱性カタログに追加した認証後コマンドインジェクション脆弱性CVE-2024-38475、認証済みRCEバグのCVE-2021-20039、そしてSMA 100の任意ファイル削除バグであるCVE-2025-32819(最も最近の候補)が含まれます。
GTIGは、これらの脆弱性をレポートに含めた理由について、いずれも最近のSMA 100機器を標的としたキャンペーンと公に関連付けられているためだと説明しています。また、UNC6148がインフォスティーラーや認証情報マーケットプレイスから認証情報を入手した可能性も高いとしています。
GTIGが調査した6月のSMA 200シリーズ機器への攻撃では、攻撃者が以前に入手したローカル管理者認証情報を使ってターゲット機器とSSL-VPNセッションを確立していました。その後、攻撃者は侵害された機器にリバースシェルを展開しましたが、これは通常は不可能なはずの行為であり、Googleの研究者はゼロデイが使われた可能性があると推測しています。
「現時点では、UNC6148が悪用した未修正の脆弱性が何であるか特定・確認できていません」とWork氏は述べ、「SMA 100シリーズを使用している組織は、我々の調査で示した推奨事項に従い、潜在的な侵害を調査し、たとえ機器が完全にパッチ適用されていても、すべての認証情報をローテーションすることを推奨します」としています。
Abyssランサムウェアとの関連
リバースシェル内に侵入した脅威アクターは、標準的なLinuxツールを使ってシステムの偵察やファイル操作を行いました。GTIGの研究者は、攻撃者が侵害したSMAのデバイス設定をエクスポートし、オフラインで自らの攻撃インフラ向けの新たなアクセス制御ポリシールールを追加してバックドアが途切れなく開き続けるよう調整していたことを確認しました。攻撃者が十分に準備を整えた後、Overstepバックドアを機器にインストールしました。
GTIGは、このバックドアをC言語で書かれたSonicWall SMA 100シリーズ機器向けのものと説明しています。このマルウェアは32ビットELF共有ライブラリとして提供され、すべての実行中プロセスにロードされます。そのために、Linuxが最初にロードするライブラリを指定するシステムファイルを乗っ取ります。この悪意あるライブラリは自動的にロードされ、5つの主要なシステム関数をインターセプトし、Overstepが自身のファイルを隠し、バックドア通信を確立できるようにします。Googleの研究者は、このバックドアの永続化メカニズムが特に厄介で、Overstepが再起動や多くの削除試行を乗り越えて生き残れるよう設計されていると指摘しています。
Truesecによる2023年および2024年のAbyssブランドのランサムウェアキャンペーンに関する過去の報告でも、同様のツールの使用が指摘されていました。「提供された技術的詳細から、我々はこのツールがOverstepと同じものであると考えています」とWork氏は述べています。「他の脅威クラスターがOverstepを使用しているのは確認されておらず、マルウェアの公開サンプルも見つかっていないため、その使用はUNC6148に限定されている可能性があります。」
翻訳元: https://www.darkreading.com/remote-workforce/fully-patched-sonicwall-gear-zero-day-attack