ICS Labs Outbreak Alert - SonicWall Secure Mobile Access Attack

This persistent attack was identified by the Google Threat Intelligence Group (GTIG) and attributed, with moderate confidence, to a financially motivated threat actor tracked as Este ataque persistente fue identificado por el Google Threat Intelligence Group (GTIG) y atribuido, con un nivel moderado de confianza, a un actor de amenazas con motivación financiera rastreado como UNC6148.

Los atacantes aprovecharon una combinación de vulnerabilidades conocidas y, posiblemente, una falla desconocida (zero-day) para obtener acceso a los dispositivos objetivo. Una vez dentro, robaron credenciales administrativas y una contraseña de un solo uso, lo que les permitió reconectarse mediante VPNs y permanecer ocultos en la red durante un período prolongado, incluso después de que se aplicaran las actualizaciones de seguridad.

Un componente clave de esta campaña fue la implementación de OVERSTEP, un rootkit basado en Linux diseñado para el sigilo y la persistencia. Una vez instalado en los dispositivos objetivo, OVERSTEP permitió a los atacantes mantener el control, exfiltrar credenciales sensibles, manipular registros para borrar evidencia e iniciar comunicación saliente con servidores de command-and-control.

Últimas Actualizaciones

• 7 de julio de 2021 – SonicWall publicó detalles sobre CVE-2021-20038, una vulnerabilidad de ejecución remota de código no autenticada.

• 14 de febrero de 2023 – FortiGuard emitió un Threat Signal sobre actividades de ransomware que explotaban CVE-2021-20038.

• 12 de marzo de 2024 – SonicWall divulgó CVE-2024-38475, una vulnerabilidad de recorrido de directorios no autenticada en Apache HTTP Server que afecta la serie SMA 100.

• 7 de mayo de 2025 – SonicWall publicó información sobre CVE-2025-32819, una vulnerabilidad de eliminación de archivos autenticada.

• 16 de julio de 2025 – Google Threat Intelligence Group (GTIG) publicó un Threat Blog.