勒索软件团伙利用rootkit攻击已修复的SonicWall SMA设备

黑客组织UNC6148针对已修复的SonicWall SMA 100系列设备部署自定义rootkit,通过反向Shell窃取密码并删除日志记录,影响取证调查能力,即使设备已完全打补丁仍能通过窃取的管理凭证重新访问。

勒索软件团伙利用rootkit攻击已修复的SonicWall SMA设备

新闻
2025年7月17日 · 5分钟阅读 · 网络攻击 · 移动安全 · 勒索软件

一个与数据盗窃、勒索和勒索软件相关的黑客组织正在针对SonicWall SMA 100系列设备,使用自定义rootkit打开反向Shell并窃取密码。

攻击背景

一组以窃取企业数据进行勒索而闻名的黑客为SonicWall安全移动访问(SMA)100系列设备开发了一个持久性rootkit。该rootkit被部署在已终止支持但完全打补丁的SMA 100设备上,借助可能在过去入侵中获取的管理凭证。

“GTIG高度确信UNC6148正在利用先前入侵期间窃取的凭证和一次性密码(OTP)种子,即使组织已应用安全更新,他们也能重新获得访问权限,”谷歌威胁情报组和Mandiant的研究人员在该组织活动的报告中写道。

部署的rootkit旨在删除日志条目,从而影响进行取证调查的能力。因此,无法确定初始访问向量,但谷歌的研究人员认为该组织利用了已知漏洞。

攻击者与勒索软件和数据泄露勒索相关

谷歌旗下的事件响应公司Mandiant将该组织追踪为UNC6148,并认为该组织的目标是获取组织访问权限,以进行数据盗窃、勒索和勒索软件部署。5月从UNC6148入侵的组织窃取的数据上个月被发布在数据泄露网站World Leaks上。

该组织可能有针对SonicWall SMA设备的历史,2023年和2024年的攻击导致部署了Web Shell,随后受害者的网络感染了Abyss勒索软件(也称为VSOCIETY)。

谷歌的研究人员认为,先前SonicWall SMA 100漏洞的野外利用可能导致在最近攻击中使用的管理凭证被盗。去年修补的一个漏洞CVE-2024-38475尤为突出,因为它允许未经身份验证的攻击者从SMA设备提取两个SQLite数据库(temp.db和persist.db),这些数据库存储敏感信息,包括用户账户凭证、会话令牌和OTP种子值。

尽管研究人员已公开记录并详细分析了该漏洞可能导致管理员凭证暴露,但GTIG和Mandiant没有证据表明该漏洞被利用。设备的管理凭证也可能从信息窃取恶意软件日志中获取。

自定义后门具有重启持久性

攻击的突出之处在于部署了一个用户模式rootkit,该rootkit在设备重启后仍然存在,Mandiant将其命名为OVERSTEP。

攻击者首先使用本地管理员凭证建立到受入侵设备的VPN连接,然后在设备上打开一个反向Shell。

“根据设计,这些设备上不应可能具有Shell访问权限,Mandiant与SonicWall产品安全事件响应团队(PSIRT)的联合调查未确定UNC6148如何建立此反向Shell,”研究人员写道。“可能UNC6148通过利用未知漏洞建立了反向Shell。”

在执行几个侦察命令后,攻击者导出然后重新导入设备配置,包括他们控制的IP地址的网络访问控制策略。最后,一个base64编码的有效负载被丢弃为名为/usr/lib/libsamba-errors.so.6的文件,并添加到/etc/ld.so.preload列表中,该列表包含要加载的库列表。

控制哪些进程在重启时启动的RC文件被修改,以确保恶意软件在设备启动时添加到运行文件系统中。这是通过向rc.fwboot中的bootCurrentFirmware函数添加代码来实现的。值得注意的是,这些设备在启动时具有锁定的文件系统,以确保仅存在合法组件。管理员甚至不应访问内部操作系统。

OVERSTEP后门功能

用C编写的OVERSTEP后门专门为SonicWall SMA 100系列设备设计。它通过/etc/ld.so.preload文件将自己注入到其他进程的内存中,然后劫持标准文件系统函数,如open、open64、readdir、readdir64和write。这允许它在系统上隐藏其组件。

后门的主要目的是窃取密码并为攻击者提供系统上的反向Shell,通过该Shell他们可以执行其他Shell命令。

“在我们的调查中,GTIG观察到来自受入侵设备的信标流量,但我们未发现显著的入侵后活动,”研究人员写道。“攻击者成功隐藏其踪迹主要归因于OVERSTEP能够选择性地从httpd.log、http_request.log和inotify.log中删除日志条目。这种反取证措施,结合磁盘上缺乏Shell历史,显著降低了攻击者次要目标的可见性。”

缓解措施

Mandiant自2024年10月以来一直跟踪UNC6148对SMA 100系列设备的 targeting。研究人员建议组织分析其SMA 100系列设备以确定是否已被入侵,即使它们运行最新完全打补丁的固件版本。

这可能涉及与SonicWall讨论从设备提取磁盘映像的方法,而不是直接在设备上执行命令,因为它们会受到rootkit的干扰。

GTIG和Mandiant的报告包括入侵指标,包括与恶意软件相关的文件名和哈希值,以及几个系统文件的修改。如果发现任何这些,组织应隔离受影响的设备并轮换所有可能存储在其上的凭证。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次