Se ha observado que un clúster de actividad de amenaza dirigida a los electrodomésticos de la serie 100 de camino móvil Sonicwall Secure de Fin de Lifewall (SMA) totalmente empatado como parte de una campaña diseñada para difundir una puerta trasera señal TRASPASAR.
La actividad maliciosa, que se remonta a al menos octubre de 2024, ha sido atribuida por el Liga de Inteligencia de Amenazos de Google (GTIG) a un equipo de piratería que rastrea tanto UNC6148. El número de víctimas conocidas es «limitada» en esta etapa.
El coloso tecnológico evaluó con gran confianza que el actor de amenaza está «aprovechando las credenciales y las semillas de contraseña única (OTP) robadas durante las intrusiones anteriores, lo que les permite recuperar el camino incluso a posteriori de que las organizaciones hayan perseverante actualizaciones de seguridad».
«El disección de los registros de metadatos de tráfico de red sugiere que UNC6148 puede tener exfiltrado inicialmente estas credenciales del dispositivo SMA a partir de enero de 2025.»
El vector de camino original exacto utilizado para entregar el malware actualmente no se conoce correcto a los pasos dados por los actores de amenaza para eliminar las entradas de registro. Pero se cree que el camino puede haberse obtenido mediante la explotación de fallas de seguridad conocidas como CVE-2021-20035, CVE-2021-20038, CVE-2021-20039, CVE-2024-38475 o CVE-2025-32819.
Alternativamente, el equipo de inteligencia de amenazas del coloso tecnológico teorizó que las credenciales del administrador podrían haberse obtenido a través de registros de robo de información o adquiridos de los mercados de credenciales. Sin retención, dijo que no encontró ninguna evidencia para respaldar esta hipótesis.
Al obtener camino, se ha descubierto que los actores de amenaza establecen una sesión SSL-VPN y generan un caparazón inversa, aunque la forma en que esto se logró sigue siendo un enigma cedido que el camino a la concha no debería ser posible por diseño en estos electrodomésticos. Se cree que puede tener sido conseguido por medio de un defecto de día cero.
El shell inverso se utiliza para ejecutar comandos de examen y manipulación de archivos, sin mencionar la configuración de exportación e importación al dispositivo SMA, lo que sugiere que UNC6148 puede tener sofocado un archivo de configuración exportado fuera de cadena para incluir nuevas reglas para que sus operaciones no sean interrumpidas ni bloqueadas por las puertas de camino de camino.
Los ataques culminan en la implementación de un implante previamente indocumentado llamado Overstep que es capaz de modificar el proceso de comienzo del dispositivo para persistir el camino persistente, así como el robo de credenciales y ocultar sus propios componentes para esquivar la detección al parchear varias funciones relacionadas con el sistema de archivos.
Esto se logra mediante la implementación de un USERMode rootKit a través de las funciones de biblioteca típico secuestradas que se abre y readdir, lo que le permite ocultar los artefactos asociados con el ataque. El malware asimismo se inclina en la función de escritura API para tomar comandos de un servidor controlado por el atacante en forma de integrado en el interior de las solicitudes web –
- cajónque inicia un shell inverso a la dirección IP y el puerto especificados
- dopasswordsque crea un archivo de alquitrán de los archivos /tmp/temp.db, /etc/easyaccess/var/conf/persist.db, y/etc/easyaccess/var/cert, y tutela en la ubicación «/usr/src/easy/factible/www/htdocs/» para que se pueda descargar a través de una ubicación en una web.
«UNC6148 modificó el archivo RC cierto ‘/etc/rc.d/rc.fwboot’ para conquistar la persistencia para sobrepasar», dijo Gtig. «Los cambios significaron que cada vez que se reiniciara el artilugio, el binario sobrependiente se cargaría en el sistema de archivos en ejecución en el dispositivo».
Una vez que se completa el paso de implementación, el actor de amenaza procede a borrar los registros del sistema y reinicia el firewall para activar la ejecución de la puerta trasera basada en C. El malware asimismo intenta eliminar las trazas de ejecución de comandos de diferentes archivos de registro, incluidos httpd.log, http_request.log e inotify.log.
«El éxito del actor en ocultar sus pistas se debe en gran medida a la capacidad de Overstep para eliminar selectivamente las entradas de registro (de los tres archivos de registro)», dijo Google. «Esta medida antiforense, combinada con una descuido de historial de conchas en el disco, reduce significativamente la visibilidad de los objetivos secundarios del actor».
Google ha evaluado con la confianza media de que UNC6148 puede tener armado una vulnerabilidad de ejecución de código remoto desconocido de día cero para implementar sobrevitores en los dispositivos SMA de Sonicwall específicos. Por otra parte, se sospecha que las operaciones se llevan a agarradera con la intención de solucionar el robo de datos y las operaciones de trastorno, e incluso la implementación de ransomware.
Esta conexión se debe al hecho de que una de las organizaciones que fue dirigida por UNC6148 fue publicada en el sitio de filtros de datos operado por World Leaks, una pandilla de trastorno dirigida por individuos previamente asociados con el esquema de ransomware de Hunters International. Vale la pena señalar que Hunters International cerró recientemente su empresa criminal.
Según Google, UNC6148 exhibe superposiciones tácticas con la explotación previa de los dispositivos SMA de Sonicwall observados en julio de 2023 que involucraba a un actor de amenaza desconocido que desplegó un shell web, un mecanismo de ocultación y una forma de respaldar la persistencia en las actualizaciones de firmware, según Truesec.
La actividad de explotación fue vinculada seguidamente por el investigador de seguridad Stephan Berger con el despliegue del ransomware Abyss.
Los hallazgos una vez más resaltan cómo los actores de amenaza se centran cada vez más en sistemas de red de borde que generalmente no están cubiertos por herramientas de seguridad comunes como la detección y respuesta de punto final (EDR) o el software antivirus y se deslizan en redes de destino desapercibidas.
«Las organizaciones deben coger imágenes de disco para el disección forense para evitar la interferencia de las capacidades anti-forenses de RootKit. Las organizaciones pueden precisar interactuar con SonicWall para capturar imágenes de disco de los electrodomésticos», dijo Google.
Cuando se contactó para hacer comentarios sobre los hallazgos, SonicWall le dijo a The Hacker News que ha estado «trabajando estrechamente» con GTIG durante todo el proceso, y que planea acelerar la vencimiento del final del apoyo para la serie SMA 100. Asimismo dijo que tiene la intención de aprobar implementaciones de SMA 100 existentes con actualizaciones de firmware durante el ciclo de vida restante.
«En respuesta al panorama de amenazas en crecimiento, y en línea con nuestro compromiso con la transparencia y la protección del cliente, SonicWall acelerará la vencimiento de fin de apoyo para la serie SMA 100 desde el 1 de octubre de 2027 hasta el 31 de diciembre de 2025», dijo la compañía. «El SMA 100 ya ha aprehendido el estado de fin de traspaso, como se refleja en la tabla de ciclo de vida del producto, y esta puesta al día se alinea con nuestra organización a espléndido plazo y la dirección de la industria».
«Sonicwall ha estado guiando activamente a los clientes alrededor de soluciones más modernas y seguras, como nuestro servicio Cloud Secure Edge y la serie SMA 1000. Estas plataformas se basan en pilas de tecnología avanzadas y ofrecen una seguridad más sólida, una maduro escalabilidad y una experiencia de agraciado mejorada mejorada para las redes de nubes de nubes de legales y condenadas a las nubes de legales que tienen los clientes de la industria de las nubes de léngidos y las nubes a los que los proveedores de léngidos tienen a las nubes de nubes a los que los proveedores de léngidos tienen a las nubes de léngidos a los que se mueven a los clientes de las nubes de léngidos a los que los proveedores líderes a los que los vendedores básicos tienen a las nubes de léngidos tienen a las nubes de léngidos y se mueven a los clientes básicos a los que se mueven a los clientes básicos a los que se mueven a los clientes básicos a los que se mueven a los clientes básicos a los clientes básicos. arquitecturas «.
(La historia se actualizó a posteriori de la publicación para incluir una respuesta de SonicWall).
