SonicWall SMA elleni kampány OVERSTEP backdoor-ral
A Google Threat Intelligence Group (GTIG) és a Mandiant incidensreagálói 2025. július 16-án közölték, hogy azonosították egy ismeretlen fenyegető csoport folyamatban lévő kampányát, amely a korábbi behatolások során ellopott hitelesítő adatokat és egyszeri jelszó (OTP) seed-eket használja fel , így a biztonsági frissítések telepítése után is újra hozzáférhetnek a már kompromittált szervezetekhez. A kutatók UNC6148 néven hivatkoznak a csoportra a kampányról szóló jelentésben, amely szerintük 2024 októberére nyúlik vissza.
A kampány a teljesen javított, EOL SonicWall Secure Mobile Access (SMA) 100-as sorozatú készülékeket célozza. A Google kifejtette, hogy a csoport által használt rosszindulatú szoftver eltávolítja a naplóbejegyzéseket, így nehéz kideríteni, hogy eredetileg hogyan jutottak be egy rendszerbe. A Google szerint a kampány túlmutat az általuk közvetlenül vizsgált incidenseken, és hozzátette, hogy a SonicWall megerősítette a többi érintett szervezetről szóló jelentéseket. A vállalat megjegyezte, hogy a SonicWall a Google megállapításainak fényében frissítette a CVE-2024-38475 néven nyomon követett hibára vonatkozó figyelmeztetését. Ebben a SonicWall azt javasolja az ügyfeleinek, hogy állítsák vissza az OTP (One-Time Password) binding-et minden felhasználó számára. Ez a lépés biztosítja, hogy az esetlegesen kompromittált vagy elavult OTP-titkok érvénytelenné válnak, ezáltal csökkentve az illetéktelen hozzáférés kockázatát.
A kampány egyik újszerű aspektusa az OVERSTEP nevű backdoor használata, amely módosítja a SonicWall készülék indítási folyamatát, hogy fenntartsa a tartós hozzáférést, ellopja az érzékeny hitelesítő adatokat és elrejtse a kártevő saját összetevőit. A Google szerint az OVERSTEP-et a szerint kifejezetten a SonicWall SMA 100 sorozatú készülékekhez tervezték. A CVE-2024-38475 mellett a Google és a Mandiant szakértői több lehetséges sérülékenységet is felvetettek, amelyeket az UNC6148 a kezdeti hozzáférés megszerzéséhez használhattak, köztük a CVE-2021-20038, CVE-2024-38475, CVE-2021-20035, CVE-2021-20039 és CVE-2025-32819.
Ezeken túl a Google elmélete szerint a hackerek egy ismeretlen zero day sérülékenységet használhattak ki a kártevő telepítéséhez a megcélzott SonicWall SMA készülékeken.
A Google elmondta, hogy a vállalatnak nincs elég adata ahhoz, hogy megállapítsa a fenyegető szereplő székhelyét, az indítékait, vagy hogy összesen hány áldozatról van szó. A Google szerint az UNC6148 pénzügyi motivációval rendelkezhet, mivel egy májusban célba vett szervezetet végül júniusban a „World Leaks” adatszivárgási oldalon közzétettek, és más múltbeli tevékenységük során az Abyss ransomware linkjei is felmerültek a csoporttal kapcsolatban. A kutatók azonban figyelmeztettek, hogy „jelenleg nem zárhatják ki a véletlenszerű átfedéseket”.
