Se ha observado un clúster de actividad de amenazas y está dirigido a un dispositivo de serie móvil SonicWall Secure de vida (SMA) totalmente parcheado como parte de una campaña diseñada para abandonar las puertas traseras llamada Overstep.
La actividad maliciosa que data al menos hasta octubre de 2024 se atribuye a un grupo que lo rastrea como UNC6148 del Grupo de Inteligencia de Amenazos de Google (GTIG). En esta etapa, el número de víctimas conocidas es «limitada».
El gigante tecnológico ha evaluado a los actores de amenaza con confianza de que «las semillas de los créditos y la contraseña única (OTP) están aprovechando las semillas que fueron robadas durante las intrusiones anteriores, lo que permite a las organizaciones recuperar acceso incluso después de aplicar actualizaciones de seguridad».
«El análisis de los registros de metadatos de tráfico de redes sugiere que UNC6148 puede haber excluido primero estas credenciales del dispositivo SMA en enero de 2025.»
El vector de acceso inicial exacto utilizado para entregar malware se desconoce actualmente debido a los pasos dados por los actores de amenaza para eliminar las entradas de registro. Sin embargo, se cree que el acceso puede haberse obtenido mediante el uso de defectos de seguridad conocidos como CVE-2021-20035, CVE-2021-20038, CVE-2021-20039, CVE-2024-38475, y CVE-2025-32819.
Alternativamente, el equipo de inteligencia de amenazas de Tech Giant teorizó que las credenciales de administrador podrían recuperarse a través de registros de robo de información o del mercado de credenciales. Sin embargo, dijo que no había evidencia para apoyar esta hipótesis.
Se sabe que una vez que se obtiene el acceso, el actor de amenaza establece una sesión SSL-VPN y genera un caparazón inverso, pero teniendo en cuenta que el diseño de estos electrodomésticos hace que el acceso a la concha sea ineficaz, sigue siendo un misterio cómo se logró esto. Se cree que puede haber sido retirado por un defecto de día cero.
El shell inverso se utiliza para ejecutar comandos de reconocimiento y manipulación de archivos, sin mencionar la configuración de exportación e importación a un dispositivo SMA. Esto sugiere que UNC6148 puede haber cambiado el archivo de configuración de exportación fuera de línea para incluir nuevas reglas para evitar que la puerta de enlace de acceso interrumpa o bloquee las operaciones.
El ataque culmina en el despliegue de implantes previamente indocumentados. Esto lleva a la implementación de implantes previamente indocumentados llamados Overstep, que le permite parchear una variedad de funciones relacionadas con el sistema de archivos para mantener el acceso calificado, mantener el robo calificado y ocultar sus propios componentes para ocultar sus propios componentes, así como modificar el proceso de arranque del dispositivo.
Esto se logra al poder abrir funciones de biblioteca estándar secuestradas e implementar Usermode rootKit en Readdir, y ocultar artefactos asociados con el ataque. El malware también se conecta para escribir funciones de API para recibir comandos del servidor de control del atacante en el formulario integrado dentro de una solicitud web –
DoBackShell inicia un shell inverso para la dirección IP especificada y el puerto Dopasswords crea un archivo de alquitrán para el archivo /tmp/temp.db. Se descargará de un navegador web
«UNC6148 cambió el archivo RC legal ‘/etc/rc.d/rc.fwboot’ para lograr una persistencia sobrepasada», dijo Gtig. «El cambio significó que cada vez que se reiniciaba el aparato, se cargarían un binarios exagerados en el sistema de archivos en ejecución del dispositivo».
Una vez que se completa el paso de implementación, el actor de amenaza borra los registros del sistema y reinicia el firewall para activar la ejecución de puerta trasera basada en C. El malware también intenta eliminar las trazas de ejecución de comandos de varios archivos de registro, como httpd.log, http_request.log e inotify.log.
«El éxito en ocultar las pistas de los actores se debe en gran medida a su capacidad para sobrepasar la capacidad de eliminar selectivamente entradas de registro (de tres archivos de registro)», dice Google. «Combinado con la falta de historia del caparazón en el disco, esta escala contra el roberto reduce significativamente la visibilidad del actor en los objetivos secundarios».
Google ha evaluado moderadamente con confianza que UNC6148 puede haber armado una vulnerabilidad de ejecución de código remoto desconocido de día cero para implementar sobrepesos en los dispositivos SMA de Sonicwall específicos. Además, se sospecha que la operación se llevará a cabo con la intención de promover el robo de datos, la operación del miedo Tor e incluso el despliegue de ransomware.
La conexión proviene del hecho de que una de las organizaciones dirigidas por UNC6148 fue publicada en un sitio de filtros de datos administrado por World Leaks, una pandilla de terror dirigida por individuos previamente asociados con el esquema de ransomware Internacional Hunter. Vale la pena señalar que Hunter International recientemente cerró las empresas criminales.
Según Google, UNC6148 muestra la pre-utilización y la superposición táctica de los dispositivos SMA de Sonicwall observados en julio de 2023.
La actividad de explotación se vinculó con el despliegue de ransomware Abyss por el investigador de seguridad Stephan Berger.
Los hallazgos resaltan una vez más el enfoque creciente de los actores de amenaza en los sistemas de red Edge que normalmente no están cubiertos por herramientas de seguridad populares, como la detección y respuesta de punto final (EDR) y el software antivirus, que se deslizan en redes de objetivos discretos.
«Las organizaciones necesitan adquirir imágenes de disco para el análisis forense para evitar la interferencia de las capacidades antiestrong de la raíz. Las organizaciones pueden necesitar interactuar con la pared sónica para capturar imágenes de disco de electrodomésticos», dijo Google.
Source link
