ICS Labs Outbreak Alert - SonicWall Secure Mobile Access Attack

Esse ataque persistente foi identificado pelo Google Threat Intelligence Group (GTIG) e atribuído, com confiança moderada, a um suspeito com motivação financeira rastreado como UNC6148.

Os atacantes exploraram uma combinação de vulnerabilidades conhecidas e, possivelmente, uma falha desconhecida (zero-day) para obter acesso aos dispositivos. Uma vez comprometidos, roubaram credenciais administrativas e uma senha de uso único, permitindo reconexões por meio de VPNs e garantindo permanência furtiva na rede ao longo do tempo — mesmo após a aplicação de atualizações de segurança.

Um componente-chave dessa campanha foi a implantação do OVERSTEP, um rootkit baseado em Linux projetado para camuflagem e persistência. Depois de instalado nos dispositivos-alvo, o OVERSTEP permitiu que os atacantes mantivessem o controle, exfiltrassem credenciais sensíveis, manipulassem logs para apagar evidências e estabelecessem comunicação externa com servidores de command-and-control.

Últimas Atualizações

• 07 de julho de 2021 – SonicWall publicou informações sobre a CVE-2021-20038, uma execução remota de código não autenticada.

• 14 de fevereiro de 2023 – FortiGuard divulgou um Threat Signal sobre atividades de ransomware explorando a CVE-2021-20038.

• 12 de março de 2024 – SonicWall publicou informações sobre a CVE-2024-38475, uma vulnerabilidade de travessia de diretório não autenticada no Apache HTTP Server que afeta a série SMA 100.

• 07 de maio de 2025 – SonicWall publicou informações sobre a CVE-2025-32819, uma vulnerabilidade de exclusão de arquivo autenticada.

• 16 de julho de 2025 – Google Threat Intelligence Group (GTIG) publicou um Threat Blog.