L’article de Mandiant et Google Threat Intelligence Group met en lumière une campagne d’exploitation en cours par un acteur malveillant, désigné UNC6148, visant les appareils SonicWall Secure Mobile Access (SMA) 100 en fin de vie.
UNC6148 utilise des identifiants et des seeds OTP volés lors d’intrusions précédentes pour accéder aux appareils, même après l’application de mises à jour de sécurité. Le malware OVERSTEP, un rootkit en mode utilisateur, est déployé pour modifier le processus de démarrage des appareils, voler des informations sensibles et se dissimuler.
Les vulnérabilités exploitées incluent CVE-2021-20038, CVE-2024-38475, et d’autres, bien que l’exploitation d’une vulnérabilité zero-day soit suspectée pour le déploiement d’OVERSTEP. L’objectif de cette campagne semble être le vol de données et l’extorsion, avec des liens possibles vers le déploiement de ransomware Abyss.
L’article souligne l’importance de changer les identifiants et de suivre les recommandations pour détecter les compromissions potentielles. Les IOCs incluent l’adresse IP 193.149.180.50 utilisée pour établir une session VPN SSL sur les appareils ciblés.
Ce rapport est une analyse technique visant à informer les défenseurs des menaces actuelles et des mesures à prendre pour mitiger ce risque.
🧠 TTPs et IOCs détectés
TTP
Exploitation of vulnerabilities (CVE-2021-20038, CVE-2024-38475, suspected zero-day), Use of stolen credentials and OTP seeds, Deployment of user-mode rootkit (OVERSTEP), Data theft, Extortion, Potential ransomware deployment (Abyss)
IOC
IP address 193.149.180.50
🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/sonicwall-secure-mobile-access-exploitation-overstep-backdoor?hl=en