Зловреден софтуер от нов тип, наречен OVERSTEP, беше открит да компрометира работещи, но вече извън поддръжка устройства SonicWall Secure Mobile Access (SMA) 100 Series, чрез модификация на процеса по зареждане на системата (boot).

Зловредният софтуер действа като потребителски руткит, който позволява на атакуващите да се скриват в системата, да крадат чувствителни данни и да поддържат постоянен достъп до устройството.

Хакерската група UNC6148

Изследователи от Google Threat Intelligence Group (GTIG) свързват атаките с групата UNC6148, която оперира поне от октомври 2024 г., като последната известна атака е извършена през май 2025 г.

Някои компрометирани данни са се появили в сайта за изтичане на данни World Leaks, свързван с групата Hunters International, което предполага, че групата използва кражба на данни и изнудване като основни тактики. Възможно е също така да разпространяват ransomware вируса  Abyss, който GTIG проследява под името VSOCIETY.

Уязвими SonicWall SMA 100 устройства

UNC6148 атакува устарели SMA 100 устройства, които осигуряват отдалечен достъп до вътрешни мрежи, облачни и хибридни среди. Не е напълно ясно как се постига първоначалният достъп, но в някои случаи хакерите вече притежават администраторски акаунти на устройствата.

GTIG предполага, че са използвани известни уязвимости (n-day) като:

• CVE-2021-20038

• CVE-2024-38475

• CVE-2021-20035

• CVE-2021-20039

• CVE-2025-32819

Вероятно CVE-2024-38475 е била използвана за кражба на администраторски креденшъли и сесийни токени още през януари 2025 г.

Reverse shell достъп и инсталиране на OVERSTEP

През юни атакуващите са използвали администраторски акаунт, за да осъществят SSL-VPN връзка към устройството и да стартират reverse shell, въпреки че това не би трябвало да е възможно по дизайн. От екипа на SonicWall не могат да обяснят как е постигнат достъпът, което предполага наличието на неизвестна zero-day уязвимост.

След достъп до системата, атакуващите са променили настройки, добавили правила за достъп и инсталирали OVERSTEP, като го декодирали от base64 и го поставили като .ELF файл. Преди рестартиране, логовете са били изтрити ръчно, за да се скрият следите.

Какво представлява OVERSTEP

• Действа като backdoor с reverse shell възможности

• Краде пароли и чувствителни файлове от системата (като persist.db, OTP семена и сертификати)

• Има анти-форензични функции – изтрива логове и не оставя следи от команди

• Зарежда се при всяко стартиране на динамично изпълним файл, осигурявайки дългосрочна устойчивост

• Използва user-mode руткит механизми, за да се скрива в системата

Потвърдени сходства с атаки чрез Abyss

GTIG отбелязва съвпадения между действията на UNC6148 и други инциденти с Abyss рансъмуер, при които също е използван уеб шел, устойчивост през обновявания и мълчаливо компрометиране на SMA устройства.

Препоръки

• Извършете дисков имидж на всяко SMA устройство за анализ

• Проверете за индикации за компрометиране – GTIG е публикувал IoC списък и съвети

• В дългосрочен план, обмислете подмяна на EoL устройства с актуално поддържани продукти