勒索软件团伙利用rootkit攻击已修复的SonicWall SMA设备

一个以窃取企业数据进行勒索而闻名的黑客组织开发了一种针对SonicWall安全移动访问（SMA）100系列设备的持久性rootkit。该rootkit被发现在已停产但完全修复的SMA 100设备上部署，攻击者可能通过过去入侵中获取的管理员凭证实现访问。

“GTIG高度确信UNC6148利用先前入侵中窃取的凭证和一次性密码（OTP）种子，即使组织应用了安全更新，他们也能重新获得访问权限，”谷歌威胁情报小组和Mandiant的研究人员在该组织活动报告中写道。

部署的rootkit旨在删除日志条目，从而影响进行取证调查的能力。因此，无法确定初始访问向量，但谷歌的研究人员认为该组织利用了已知漏洞。

与勒索和数据泄露勒索相关的攻击者

谷歌旗下的事件响应公司Mandiant将该组织追踪为UNC6148，并认为该组织的目标是获取组织访问权限以进行数据盗窃、勒索和勒索软件部署。5月从UNC6148入侵的组织窃取的数据上个月被发布在数据泄露网站World Leaks上。

该组织可能有针对SonicWall SMA设备的历史，2023年和2024年的攻击导致部署了web shell，随后受害者的网络感染了Abyss勒索软件（也称为VSOCIETY）。

谷歌的研究人员认为，先前SonicWall SMA 100漏洞的野外利用可能导致最近攻击中使用的管理凭证被盗。去年修复的一个漏洞CVE-2024-38475尤为突出，因为它允许未经身份验证的攻击者从SMA设备提取两个SQLite数据库（temp.db和persist.db），这些数据库存储敏感信息，包括用户账户凭证、会话令牌和OTP种子值。

尽管研究人员已公开记录并详细分析了该漏洞可能导致管理员凭证暴露，但GTIG和Mandiant没有证据表明这是被利用的漏洞。设备的管理员凭证也可能从信息窃取恶意软件日志中获取。

具有重启持久性的自定义后门

这次攻击的突出之处在于部署了一个用户模式rootkit，该rootkit在设备重启后仍然存在，Mandiant将其命名为OVERSTEP。

攻击者首先使用本地管理员凭证建立到受损设备的VPN连接，然后在设备上打开一个反向shell。

“根据设计，这些设备上不应可能具有shell访问权限，Mandiant与SonicWall产品安全事件响应团队（PSIRT）的联合调查未确定UNC6148如何建立此反向shell，”研究人员写道。“可能UNC6148通过利用未知漏洞建立了反向shell。”

在执行几个侦察命令后，攻击者导出然后重新导入设备配置，包括他们控制的IP地址的网络访问控制策略。最后，一个base64编码的有效负载被丢弃为名为/usr/lib/libsamba-errors.so.6的文件，并添加到/etc/ld.so.preload列表中，该列表包含要加载的库列表。

控制重启时启动哪些进程的RC文件被修改，以确保恶意软件在设备启动时添加到运行文件系统中。这是通过向rc.fwboot中的bootCurrentFirmware函数添加代码来实现的。值得注意的是，这些设备在启动时具有锁定的文件系统，以确保仅存在合法组件。管理员甚至不应访问内部操作系统。

用C编写的OVERSTEP后门专门针对SonicWall SMA 100系列设备设计。它通过/etc/ld.so.preload文件将自己注入到其他进程的内存中，然后劫持标准文件系统函数，如open、open64、readdir、readdir64和write。这允许它隐藏其系统上的组件。

后门的主要目的是窃取密码并为攻击者提供系统上的反向shell，通过该shell他们可以执行其他shell命令。

“在我们的调查中，GTIG观察到来自受损设备的信标流量，但我们未发现显著的入侵后活动，”研究人员写道。“攻击者成功隐藏其踪迹主要归因于OVERSTEP能够选择性地从httpd.log、http_request.log和inotify.log中删除日志条目。这种反取证措施，加上磁盘上缺乏shell历史，显著降低了攻击者次要目标的可见性。”

缓解措施

Mandiant自2024年10月以来一直跟踪UNC6148对SMA 100系列设备的 targeting。研究人员建议组织分析其SMA 100系列设备以确定是否已被入侵，即使它们运行最新完全修复的固件版本。

这可能涉及与SonicWall讨论从设备提取磁盘映像的方法，而不是直接在设备上执行命令，因为它们会受到rootkit的干扰。

GTIG和Mandiant报告包括入侵指标，包括与恶意软件相关的文件名和哈希值，以及几个系统文件的修改。如果发现任何这些，组织应隔离受影响的设备并轮换可能存储在其上的所有凭证。