ランサムウェア攻撃者がパッチ適用済みSonicWall SMAデバイスをルートキットで標的に

企業データの窃取と恐喝で知られるハッカーグループが、SonicWall Secure Mobile Access（SMA）100シリーズ機器向けの持続的なルートキットを開発しました。このルートキットは、サポート終了済みながら完全にパッチが適用されたSMA 100機器に、過去の侵害で入手したとみられる管理者認証情報を使って展開されていました。

「GTIGは高い確信をもって、UNC6148が過去の侵入で盗んだ認証情報やワンタイムパスワード（OTP）のシードを利用し、組織がセキュリティアップデートを適用した後でも再びアクセスを得ていると評価しています」とGoogle Threat Intelligence GroupとMandiantの研究者はグループの活動に関するレポートで述べています。

展開されたルートキットはログエントリを削除するよう設計されており、これによりフォレンジック調査の実施能力に影響を与えます。そのため、初期アクセス経路は確定できませんでしたが、Googleの研究者はグループが既知の脆弱性を利用したと考えています。

ランサムウェアとデータ漏洩による恐喝に関連する攻撃者

Google傘下のインシデント対応企業Mandiantは、このグループをUNC6148として追跡しており、グループの目的はデータ窃取、恐喝、ランサムウェア展開のために組織へのアクセスを得ることだと考えています。UNC6148により5月に侵害された組織から盗まれたデータは、先月データリークサイト「World Leaks」に掲載されました。

このグループはSonicWall SMA機器を標的にした過去がある可能性があり、2023年と2024年の攻撃ではウェブシェルが展開され、その後被害者ネットワークがAbyssランサムウェア（VSOCIETYとしても知られる）に感染しました。

Googleの研究者は、過去のSonicWall SMA 100の脆弱性が実際に悪用されたことで、最近の攻撃で使われた管理者認証情報が盗まれた可能性があると考えています。昨年修正された脆弱性CVE-2024-38475は、認証されていない攻撃者がSMA機器から2つのSQLiteデータベースtemp.dbとpersist.dbを抽出できるため注目されています。これらにはユーザーアカウント認証情報、セッショントークン、OTPシード値などの機密情報が保存されています。

この脆弱性は公開され、研究者によって詳細に分析されており、管理者認証情報が漏洩する可能性が指摘されていますが、GTIGとMandiantはこれが実際に悪用された証拠は持っていません。また、機器の管理者認証情報がインフォスティーラーマルウェアのログから入手された可能性もあります。

再起動後も持続するカスタムバックドア

この攻撃で特筆すべきは、デバイスの再起動後も持続するユーザーモードのルートキットが展開された点であり、MandiantはこれをOVERSTEPと名付けました。

攻撃者はまずローカル管理者認証情報を使って侵害された機器にVPN接続を確立し、その後機器上でリバースシェルを開きました。

「これらの機器では設計上シェルアクセスはできないはずであり、MandiantとSonicWall製品セキュリティインシデント対応チーム（PSIRT）による共同調査でも、UNC6148がどのようにリバースシェルを確立したかは特定できませんでした」と研究者は述べています。「このリバースシェルは、UNC6148による未知の脆弱性の悪用によって確立された可能性があります。」

複数の偵察コマンドの後、攻撃者は機器の設定（自分たちが管理するIPアドレス向けのネットワークアクセス制御ポリシーを含む）をエクスポートし、再インポートしました。最終的に、base64でエンコードされたペイロードが/usr/lib/libsamba-errors.so.6というファイル名でドロップされ、ライブラリの読み込みリスト/etc/ld.so.preloadに追加されました。

再起動時にどのプロセスが起動するかを制御するRCファイルが修正され、機器起動時にマルウェアが実行ファイルシステムに追加されるようになっていました。これはrc.fwboot内のbootCurrentFirmware関数にコードを追加することで実現されました。なお、これらの機器は起動時にファイルシステムがロックダウンされ、正規コンポーネントのみが存在するようになっています。管理者であっても内部OSへのアクセスは想定されていません。

C言語で書かれたOVERSTEPバックドアは、SonicWall SMA 100シリーズ機器専用に設計されています。これは/etc/ld.so.preloadファイルを通じて他のプロセスのメモリに自身を注入し、open、open64、readdir、readdir64、writeなどの標準ファイルシステム関数を乗っ取ります。これにより、システム上で自身のコンポーネントを隠すことができます。

バックドアの主な目的はパスワードの窃取と、攻撃者にシステム上でリバースシェルを提供し、追加のシェルコマンドを実行できるようにすることです。

「我々の調査では、侵害された機器からビーコン通信が観測されましたが、特筆すべき侵害後の活動は確認できませんでした」と研究者は述べています。「攻撃者が痕跡を隠すことに成功しているのは、OVERSTEPがhttpd.log、http_request.log、inotify.logから選択的にログエントリを削除できる能力によるものです。このアンチフォレンジック対策とディスク上にシェル履歴が残らないことが相まって、攻撃者の二次的な目的の可視性が大きく低下しています。」

対策

Mandiantは2024年10月以降、UNC6148によるSMA 100シリーズ機器の標的化を追跡しています。研究者は、最新の完全にパッチが適用されたファームウェアを使用している場合でも、自組織のSMA 100シリーズ機器が侵害されていないか分析するよう推奨しています。

これは、ルートキットによる干渉を避けるため、機器上で直接コマンドを実行するのではなく、SonicWallと相談してディスクイメージを抽出する方法を検討することを含む場合があります。

GTIGとMandiantのレポートには、マルウェアに関連するファイル名やハッシュ値、複数のシステムファイルの改変など、侵害の指標が含まれています。これらのいずれかが発見された場合、組織は影響を受けた機器を隔離し、保存されていた可能性のあるすべての認証情報を変更する必要があります。