Группа UNC6148 активно внедряет ранее неизвестный руткит OVERSTEP в устаревшие устройства SonicWall Secure Mobile Access (SMA) 100 series. Google Threat Intelligence Group (GTIG) зафиксировала атаки с октября 2024 года, а сетевые метаданные указывают на возможную утечку учетных данных уже в январе 2025.
Злоумышленники используют украденные логины, пароли и сиды OTP, полученные в ходе прошлых взломов. Хотя точный вектор начального доступа скрыт очисткой логов, GTIG предполагает эксплуатацию уязвимостей CVE-2021-20035, CVE-2021-20038, CVE-2021-20039, CVE-2024-38475, CVE-2025-32819 или применение неизвестной уязвимости zero-day. Теории о покупке данных на теневых рынках не подтверждены.
Атака развивается по отработанному сценарию: установка SSL-VPN сессии, запуск обратной оболочки, разведка внутри системы и манипуляции с файлами. Критический этап — экспорт конфигурации SMA для офлайн-модификации. Это позволяет добавить скрытые правила, обеспечивающие беспрепятственную установку OVERSTEP перед очисткой журналов и перезагрузкой.
Руткит обеспечивает стойкое присутствие через модификацию загрузочного скрипта
Функционал включает две ключевые команды:
Целью UNC6148, по оценке GTIG, является хищение данных, шантаж и развертывание ransomware. Связь с вымогательством подтверждается публикацией данных одной из жертв на портале World Leaks. Этот сайт ассоциирован с участниками закрытой группировки Hunters International.
Тактика повторяет июльские 2023 года атаки на SMA, исследованные Truesec. Эксперт Stephan Berger тогда связал аналогичные методы с внедрением ransomware Abyss. Атаки подчеркивают риск эксплуатации периферийных сетевых устройств, часто не защищенных EDR.
Для выявления OVERSTEP GTIG рекомендует анализ образов диска, обходящий анти-форензик руткита. Владельцам физических SMA 100 series потребуется обращение в SonicWall для снятия полных дампов.
Изображение носит иллюстративный характер
Злоумышленники используют украденные логины, пароли и сиды OTP, полученные в ходе прошлых взломов. Хотя точный вектор начального доступа скрыт очисткой логов, GTIG предполагает эксплуатацию уязвимостей CVE-2021-20035, CVE-2021-20038, CVE-2021-20039, CVE-2024-38475, CVE-2025-32819 или применение неизвестной уязвимости zero-day. Теории о покупке данных на теневых рынках не подтверждены.
Атака развивается по отработанному сценарию: установка SSL-VPN сессии, запуск обратной оболочки, разведка внутри системы и манипуляции с файлами. Критический этап — экспорт конфигурации SMA для офлайн-модификации. Это позволяет добавить скрытые правила, обеспечивающие беспрепятственную установку OVERSTEP перед очисткой журналов и перезагрузкой.
Руткит обеспечивает стойкое присутствие через модификацию загрузочного скрипта
/etc/rc.d/rc.fwboot. Для маскировки он перехватывает системные функции open, readdir и write, скрывая артефакты и получая команды через HTTP-запросы. OVERSTEP целенаправленно удаляет записи в httpd.log, http_request.log, inotify.log и не оставляет следов на диске. Функционал включает две ключевые команды:
dobackshell активирует обратную оболочку к указанному IP, а dopasswords создает TAR-архив с критичными файлами (/tmp/temp.db, /etc/EasyAccess/var/conf/persist.db, /etc/EasyAccess/var/cert) для скачивания из /usr/src/EasyAccess/www/htdocs/. Целью UNC6148, по оценке GTIG, является хищение данных, шантаж и развертывание ransomware. Связь с вымогательством подтверждается публикацией данных одной из жертв на портале World Leaks. Этот сайт ассоциирован с участниками закрытой группировки Hunters International.
Тактика повторяет июльские 2023 года атаки на SMA, исследованные Truesec. Эксперт Stephan Berger тогда связал аналогичные методы с внедрением ransomware Abyss. Атаки подчеркивают риск эксплуатации периферийных сетевых устройств, часто не защищенных EDR.
Для выявления OVERSTEP GTIG рекомендует анализ образов диска, обходящий анти-форензик руткита. Владельцам физических SMA 100 series потребуется обращение в SonicWall для снятия полных дампов.
