Se ha observado que un clúster de actividad de amenaza dirigida a los electrodomésticos de la serie 100 de entrada móvil Sonicwall Secure de Fin de Lifewall (SMA) totalmente empatado como parte de una campaña diseñada para exhalar una puerta trasera convocatoria TRASPASAR.
La actividad maliciosa, que se remonta a al menos en octubre de 2024, ha sido atribuida por el Rama de Inteligencia de Amenazos de Google (GTIG) a un comunidad que rastrea tanto UNC6148.
El cíclope tecnológico evaluó con gran confianza que el actor de amenaza está “aprovechando las credenciales y las semillas de contraseña única (OTP) robadas durante las intrusiones anteriores, lo que les permite recuperar el entrada incluso luego de que las organizaciones hayan estudioso actualizaciones de seguridad”.
“El descomposición de los registros de metadatos de tráfico de red sugiere que UNC6148 puede tener exfiltrado inicialmente estas credenciales del dispositivo SMA a partir de enero de 2025.”
El vector de entrada auténtico exacto utilizado para entregar el malware actualmente no se conoce correcto a los pasos dados por los actores de amenaza para eliminar las entradas de registro. Pero se cree que el entrada puede haberse obtenido mediante la explotación de fallas de seguridad conocidas como CVE-2021-20035, CVE-2021-20038, CVE-2021-20039, CVE-2024-38475 o CVE-2025-32819.
Alternativamente, el equipo de inteligencia de amenazas del cíclope tecnológico teorizó que las credenciales del administrador podrían haberse obtenido a través de registros de robo de información o adquiridos de los mercados de credenciales. Sin incautación, dijo que no encontró ninguna evidencia para respaldar esta hipótesis.
Al obtener entrada, se ha descubierto que los actores de amenaza establecen una sesión SSL-VPN y generan un caparazón inversa, aunque la forma en que esto se logró sigue siendo un enigma poliedro que el entrada a la concha no debería ser posible por diseño en estos electrodomésticos. Se cree que puede tener sido conseguido por medio de un defecto de día cero.
El shell inverso se utiliza para ejecutar comandos de gratitud y manipulación de archivos, sin mencionar la configuración de exportación e importación al dispositivo SMA, lo que sugiere que UNC6148 puede tener trastornado un archivo de configuración exportado fuera de bisectriz para incluir nuevas reglas para que sus operaciones no sean interrumpidas ni bloqueadas por las puertas de entrada de entrada.
Los ataques culminan en la implementación de un implante previamente indocumentado llamado Overstep que es capaz de modificar el proceso de comienzo del dispositivo para prolongar el entrada persistente, así como el robo de credenciales y ocultar sus propios componentes para sortear la detección al parchear varias funciones relacionadas con el sistema de archivos.
Esto se logra mediante la implementación de un USERMode rootKit a través de las funciones de biblioteca estereotipado secuestradas que se abre y readdir, lo que le permite ocultar los artefactos asociados con el ataque. El malware igualmente se inclina en la función de escritura API para acoger comandos de un servidor controlado por el atacante en forma de integrado interiormente de las solicitudes web –
- cajónque inicia un shell inverso a la dirección IP y el puerto especificados
- dopasswordsque crea un archivo de alquitrán de los archivos /tmp/temp.db, /etc/easyaccess/var/conf/persist.db, y/etc/easyaccess/var/cert, y guardia en la ubicación “/usr/src/easy/liviana/www/htdocs/” para que se pueda descargar a través de una ubicación en una web.
“UNC6148 modificó el archivo RC verdadero ‘/etc/rc.d/rc.fwboot’ para conseguir la persistencia para sobrepasar”, dijo Gtig. “Los cambios significaron que cada vez que se reiniciara el ingenio, el binario sobrependiente se cargaría en el sistema de archivos en ejecución en el dispositivo”.
Una vez que se completa el paso de implementación, el actor de amenaza procede a borrar los registros del sistema y reinicia el firewall para activar la ejecución de la puerta trasera basada en C. El malware igualmente intenta eliminar las trazas de ejecución de comandos de diferentes archivos de registro, incluidos httpd.log, http_request.log e inotify.log.
“El éxito del actor en ocultar sus pistas se debe en gran medida a la capacidad de Overstep para eliminar selectivamente las entradas de registro (de los tres archivos de registro)”, dijo Google. “Esta medida antiforense, combinada con una equivocación de historial de conchas en el disco, reduce significativamente la visibilidad de los objetivos secundarios del actor”.
Google ha evaluado con la confianza media de que UNC6148 puede tener armado una vulnerabilidad de ejecución de código remoto desconocido de día cero para implementar sobrevitores en los dispositivos SMA de Sonicwall específicos. Encima, se sospecha que las operaciones se llevan a término con la intención de proveer el robo de datos y las operaciones de molestia, e incluso la implementación de ransomware.
Esta conexión se debe al hecho de que una de las organizaciones que fue dirigida por UNC6148 fue publicada en el sitio de filtros de datos operado por World Leaks, una pandilla de molestia dirigida por individuos previamente asociados con el esquema de ransomware de Hunters International. Vale la pena señalar que Hunters International cerró recientemente su empresa criminal.
Según Google, UNC6148 exhibe superposiciones tácticas con la explotación previa de los dispositivos SMA de Sonicwall observados en julio de 2023 que involucraba a un actor de amenaza desconocido que desplegó un shell web, un mecanismo de ocultación y una forma de certificar la persistencia en las actualizaciones de firmware, según Truesec.
La actividad de explotación fue vinculada seguidamente por el investigador de seguridad Stephan Berger con el despliegue del ransomware Abyss.
Los hallazgos una vez más resaltan cómo los actores de amenaza se centran cada vez más en sistemas de red de borde que generalmente no están cubiertos por herramientas de seguridad comunes como la detección y respuesta de punto final (EDR) o el software antivirus y se deslizan en redes de destino desapercibidas.
“Las organizaciones deben pescar imágenes de disco para el descomposición forense para evitar la interferencia de las capacidades anti-forenses de RootKit. Las organizaciones pueden faltar interactuar con SonicWall para capturar imágenes de disco de los electrodomésticos”, dijo Google.
