Google detalha Backdoor OVERSTEP que infecta SonicWall "End-of-Life" e ignora patches

O Google Threat Intelligence Group (GTIG) e a Mandiant, em uma colaboração recente, identificaram uma campanha de ataque cibernético persistente que tem como alvo principal os dispositivos SonicWall Secure Mobile Access (SMA) 100 series que atingiram o fim de sua vida útil ("end-of-life"). A campanha, atribuída a um grupo de hackers não identificado – referido como UNC6148 – tem se destacado pela audácia e sofisticação, utilizando credenciais e chaves OTP (One-Time Password) roubadas em intrusões anteriores para manter o acesso a organizações mesmo após a aplicação de atualizações de segurança.

Um porta-voz do Google confirmou que, embora a empresa não tenha dados suficientes para determinar a localização ou as motivações exatas do grupo, ou o número total de vítimas, a investigação aponta para uma campanha ativa desde outubro de 2024.

A possível motivação financeira do UNC6148 é uma das hipóteses, dado que uma das organizações-alvo em maio teve seus dados expostos no site de vazamento "World Leaks" em junho. Além disso, atividades passadas desse grupo sugerem uma ligação com a gangue de ransomware Abyss, embora os pesquisadores ressaltem que "não podem descartar uma sobreposição coincidente neste momento."

A campanha foca em dispositivos SonicWall SMA 100 series que, apesar de estarem totalmente atualizados, são classificados como "end-of-life". O malware empregado pelos hackers possui a capacidade de remover entradas de log, dificultando significativamente a investigação sobre como o acesso inicial ao sistema foi obtido.

O Google, em conjunto com a Equipe de Resposta a Incidentes de Segurança de Produtos da SonicWall, investigou vários incidentes, com a SonicWall confirmando outros relatos de organizações impactadas. Em resposta às descobertas do Google, a SonicWall atualizou um comunicado de segurança para a falha CVE-2024-38475.

Como medida de segurança adicional, a SonicWall aconselhou seus clientes a redefinirem as associações de OTP (One-Time Password) para todos os usuários. Essa etapa visa invalidar quaisquer segredos de OTP comprometidos ou desatualizados, mitigando assim os riscos de acesso não autorizado.

Um dos aspectos mais inovadores da campanha é o uso de um backdoor denominado OVERSTEP. Este malware foi projetado para modificar o processo de inicialização do dispositivo SonicWall, garantindo acesso persistente, roubando credenciais sensíveis e, crucialmente, ocultando seus próprios componentes. A capacidade do OVERSTEP de apagar logs tem sido um grande desafio para os respondedores a incidentes, dificultando o rastreamento de outras atividades dos hackers. O Google destaca que o OVERSTEP foi criado especificamente para os dispositivos SonicWall SMA 100 series.

Além da CVE-2024-38475, especialistas do Google e Mandiant levantaram a hipótese de várias outras vulnerabilidades que os hackers podem ter explorado para obter acesso inicial, incluindo CVE-2021-20038, CVE-2021-20035, CVE-2021-20039 e CVE-2025-32819. Os pesquisadores também teorizam que uma vulnerabilidade zero-day ainda desconhecida pode ter sido utilizada para implantar o malware nos dispositivos SonicWall SMA alvos.

"As primeiras observações da Mandiant sobre o UNC6148 em uma investigação recente mostraram que eles já possuíam credenciais de administrador local para o dispositivo SMA 100 series alvo, e nenhuma evidência forense ou outros dados foram identificados para mostrar como essas credenciais foram obtidas", afirma o relatório. O GTIG avalia com alta confiança que o UNC6148 explorou uma vulnerabilidade conhecida para roubar credenciais de administrador antes que o dispositivo SMA alvo fosse atualizado para a versão mais recente do firmware, baseando-se no cronograma de patching e relatórios públicos de exploração de vulnerabilidades "n-day" da SonicWall ao longo de 2025.

Os hackers posteriormente tomaram medidas para garantir o "controle privilegiado e persistente do dispositivo" através do OVERSTEP. "Embora não tenhamos observado diretamente a utilização desses dados roubados, isso cria um caminho claro para acesso persistente", concluíram os pesquisadores, ressaltando a natureza de longo prazo e as graves implicações desses ataques.

Via - RFN