SonicWallは、SMA 100シリーズデバイスを標的とした攻撃で展開されたルートキットマルウェアを削除するのに役立つファームウェアアップデートをリリースしました。
「SonicWall SMA 100 10.2.2.2-92svビルドは、追加のファイルチェック機能を備えてリリースされており、SMAデバイス上に存在する既知のルートキットマルウェアを削除する能力を提供します」と、同社は月曜日のアドバイザリで述べています。
「SonicWallは、SMA 100シリーズ製品(SMA 210、410、500v)のユーザーに対し、10.2.2.2-92svバージョンへのアップグレードを強く推奨します。」
このアップデートは、Google Threat Intelligence Group(GTIG)の研究者による7月の報告を受けてのものです。同報告では、UNC6148として追跡されている脅威アクターが、来週2025年10月1日にサポート終了(EoL)となるSonicWall SMA 100デバイスにOVERSTEPマルウェアを展開していることが観測されました。
OVERSTEPはユーザーモードのルートキットであり、攻撃者が隠された悪意のあるコンポーネントを使用し、侵害されたデバイス上にリバースシェルを確立することで、永続的なアクセスを維持できるようにします。このマルウェアは、persist.databaseや証明書ファイルなどの機密ファイルを盗み出し、ハッカーに認証情報、OTPシード、証明書へのアクセスを提供し、さらなる永続化を可能にします。
研究者たちはUNC6148の攻撃の目的を特定できていませんが、Abyss関連のランサムウェア事案との「注目すべき重複点」が見つかったとしています。
例えば、2023年末にはTruesecがAbyssランサムウェア事案を調査し、ハッカーがSMAアプライアンスにWebシェルをインストールし、ファームウェアアップデート後も永続化を維持していたことが判明しました。2024年3月には、InfoGuard AGのインシデントレスポンダーであるStephan Berger氏が、同様のSMAデバイス侵害を報告し、Abyssマルウェアの展開に至ったとしています。
「Google Threat Intelligence Group(GTIG)からの脅威インテリジェンスレポートは、SMA100の古いファームウェアバージョンを使用することの潜在的リスクを強調しています」とSonicWallは月曜日に付け加え、管理者に対して7月のアドバイザリで示されたセキュリティ対策の実施を促しました。
先週、SonicWallは、クラウドバックアップ用APIサービスを標的としたブルートフォース攻撃でファイアウォール設定のバックアップファイルが流出したことを受け、顧客に認証情報のリセットを警告しました。
8月には、同社はAkiraランサムウェアグループがゼロデイ脆弱性を利用してGen 7ファイアウォールをハッキングしているとの主張を否定し、この問題は2024年11月に修正された重大な脆弱性(CVE-2024-40766)に関連していることを明らかにしました。
その後、オーストラリアサイバーセキュリティセンター(ACSC)およびサイバーセキュリティ企業Rapid7は、Akiraグループがこの脆弱性を悪用し、未修正のSonicWallデバイスを標的にしていることを確認しました。
