Сложная кибератака на устройства SonicWall SMA: эксплуатируется 0-day уязвимость и внедряется новый руткит OVERSTEP

Эта кампания представляет серьезную угрозу для сетевой инфраструктуры, так как атаки успешно проводятся даже после установки всех доступных патчей. По данным GTIG, UNC6148 активно использует украденные логины и одноразовые пароли (OTP), что делает традиционные методы защиты неэффективными. Есть подозрения, что группировка связана с операторами ransomware, тем более что одна из атакованных организаций уже появилась на сайте утечек данных World Leaks в июне 2025. Также обнаружены совпадения с предыдущими атаками на SonicWall, в ходе которых развертывалось вредоносное ПО Abyss.

OVERSTEP - это не просто бэкдор, а сложный пользовательский руткит, специально разработанный для устройств SonicWall SMA. Он модифицирует процесс загрузки, внедряясь в INITRD-образ, и использует механизм /etc/ld.so.preload, чтобы обеспечить устойчивость после перезагрузки. Таким образом, руткит перехватывает системные вызовы всех процессов на зараженном устройстве, что позволяет ему скрываться от администраторов, красть учетные данные и создавать обратные оболочки (reverse shell).

Основная функциональность OVERSTEP сосредоточена на подмене стандартных библиотечных функций, таких как open, readdir и write. Злоумышленники могут удаленно управлять руткитом, отправляя веб-запросы с определенными командами, например "dobackshell" (для создания обратного подключения) или "dopasswords" (для кражи паролей). Руткит также целенаправленно атакует критические базы данных temp.db и persist.db, содержащие учетные данные, токены сессий и OTP-ключи, которые позволяют сохранять доступ даже после смены пароля.

Дополнительно OVERSTEP включает мощные анти-форензик-механизмы, удаляя записи из логов httpd.log, http_request.log и inotify.log, что значительно затрудняет расследование инцидентов.

Обнаружение деятельности UNC6148 выявило серьезные проблемы в экосистеме SonicWall. Помимо известных уязвимостей, таких как CVE-2024-38475 (позволяющая атакующим извлекать файлы баз данных через атаки обхода пути), группировка, вероятно, использует неизвестную 0-day уязвимость для развертывания OVERSTEP. Это означает, что стандартные методы управления уязвимостями могут оказаться бессильными перед такой угрозой.

Организациям, использующим устройства SonicWall SMA, рекомендуется немедленно предпринять следующие меры: провести полный форензик-анализ с использованием дампов дисков (так как руткит скрывает следы на работающей системе), сменить все учетные данные, включая OTP-привязки, отозвать и перевыпустить сертификаты. Также важно усилить мониторинг подозрительных VPN-сессий, особенно если они инициируются с внешних IP-адресов.

Особую опасность представляет длительный период скрытого присутствия злоумышленников в сети - в некоторых случаях от момента заражения до развертывания ransomware проходили месяцы. Это подчеркивает необходимость активного поиска угроз и постоянного контроля инфраструктуры даже при отсутствии очевидных признаков атаки.

В заключение стоит отметить, что атаки на сетевые устройства становятся все более изощренными, а их последствия - катастрофическими. OVERSTEP демонстрирует, что классические методы защиты уже не справляются с новыми угрозами, и организациям необходимо пересматривать свои стратегии кибербезопасности, делая упор на проактивное обнаружение и реагирование.

IPv4

• 193.149.180.50
• 64.52.80.80

SHA256

• b28d57269fe4cd90d1650bde5e9056116de26d211966262e59359d0e2a67d473
• f0e0db06ca665907770e2202957d3eccd5a070acac1debaf0889d0d48c10e149