黑客有备而来
黑客针对的是已停止支持(EoL)的 SonicWall SMA 100 系列设备,该设备用于为本地网络、云端或混合数据中心中的企业资源提供安全远程访问。
目前尚不清楚攻击者是如何获得初始访问权限的,但在调查 UNC6148 的攻击过程中,研究人员发现该威胁行为者已经掌握了目标设备的本地管理员凭据。
“谷歌威胁情报组(GTIG)高度确定,UNC6148 在目标 SMA 设备更新至最新固件版本(10.2.1.15-81sv)之前,利用了一个已知漏洞窃取了管理员凭据。”
通过分析网络流量元数据,研究人员发现证据表明,UNC6148 可能在今年一月就已窃取了目标设备的凭据。
攻击者可能利用了多个“n-day”漏洞(CVE-2021-20038、CVE-2024-38475、CVE-2021-20035、CVE-2021-20039、CVE-2025-32819)实施攻击,这些漏洞中最早的于 2021 年披露,最新的则是在 2025 年 5 月。
其中,攻击者可能利用了 CVE-2024-38475 漏洞,因为该漏洞可泄露“本地管理员凭据和可被 UNC6148 重用的有效会话令牌”。
不过,来自谷歌旗下的事件响应团队 Mandiant 表示,尚无法确认攻击者是否确实利用了该漏洞。
反向 Shell 之谜
在今年 6 月的一次攻击中,UNC6148 利用本地管理员凭据通过 SSL-VPN 会话连接至目标 SMA 100 系列设备。
尽管从设计上来说该类设备不应允许 Shell 访问,但攻击者仍成功发起了一个反向 Shell 会话。
SonicWall 产品安全事件响应团队(PSIRT)试图调查攻击者是如何实现这一行为的,但未能得出明确结论,其中一个可能的原因是攻击者利用了尚未公开的安全漏洞。
通过获得对设备的 Shell 访问权限,威胁行为者随后执行了侦察、文件操作,并导入了一组设置,其中包含新的网络访问控制策略规则,用以允许来自攻击者 IP 地址的连接请求。
OVERSTEP Rootkit 不留痕迹
在获取设备控制权限后,UNC6148 通过一系列命令部署了名为 OVERSTEP 的 Rootkit,该恶意程序通过 base64 解码得到二进制文件,并作为 .ELF 文件植入设备系统。
“安装完成后,攻击者手动清除了系统日志并重启了设备,从而激活了 OVERSTEP 后门。”——谷歌威胁情报组
OVERSTEP 是一种后门程序,可建立反向 Shell 连接并从主机中窃取密码信息。同时,它还具备用户态 Rootkit 功能,能够隐藏自身组件,在受害设备中长期潜伏而不被发现。
发表评论
您还未登录,请先登录。
登录