hooded hacker online security concept

Les acteurs de ransomware ciblent les appareils SMA Sonicwall SMA avec rootkit

Lucas Morel

Un groupe de hackers connecté au vol de données, à l’extorsion et aux ransomwares cible les appareils de série Sonicwall SMA 100 avec un rootkit personnalisé qui ouvre des coquilles inverses et vole des mots de passe.

Un groupe de pirates connues pour avoir volé des données d’entreprise à des fins d’extorsion a développé un rootkit persistant pour les appareils de série de la série Mobile Access (SMA) 100. Le Rootkit a été vu déployé à la fin de vie mais des appareils SMA 100 entièrement corrigés à l’aide de références administratives probablement obtenues dans les compromis passés.

«GTIG évalue avec une grande confiance que l’UNC6148 tire parti des informations d’identification et des graines de mot de passe ponctuelle (OTP) volées lors des intrusions précédentes, ce qui leur permet de retrouver l’accès même après que les organisations ont appliqué des mises à jour de sécurité», les chercheurs de Google Threat Intelligence Group et de Mandiant ont écrit dans un rapport sur l’activité du groupe.

Le rootkit déployé est conçu pour supprimer les entrées de journal, ce qui a ainsi l’impact de la possibilité d’effectuer une enquête médico-légale. En tant que tel, aucun vecteur d’accès initial n’a pu être établi avec certitude, mais les chercheurs de Google pensent que le groupe a mis à profit les vulnérabilités connues.

Les attaquants liés aux ransomwares et aux extensions de fuite de données

La société de réponse aux incidents appartenant à Google Maniant suit le groupe en tant que UNC6148 et estime que l’objectif du groupe est d’accéder aux organisations à des fins de vol de données, d’extorsion et de déploiement de ransomwares. Les données volées à une organisation compromise par UNC6148 en mai ont été publiées sur les fuites du site de la fuite de données le mois dernier.

Le groupe pourrait avoir des antécédents de ciblage des appareils Sonicwall SMA, avec des attaques en 2023 et 2024, ce qui a entraîné des coquilles Web déployées et plus tard l’infection des réseaux de la victime avec le ransomware Abyss, également connu sous le nom de VSociety.

Les chercheurs de Google croient que les exploitations dans les fenêtres des vulnérabilités précédentes de Sonicwall SMA 100 pourraient avoir conduit au vol de références administratives utilisées dans les attaques récentes. Une vulnérabilité corrigée l’année dernière, CVE-2024-38475, se démarque car elle permet aux attaquants non authentifiés d’extraire des appareils SMA deux bases de données sqlite, temp.db et persist.dbqui stockent les informations sensibles, y compris les informations d’identification du compte utilisateur, les jetons de session et les valeurs de graines OTP.

Bien que la faille ait été publiquement documentée et analysée en détail par les chercheurs comme conduisant potentiellement à l’exposition des informations d’identification administratives, GTIG et Mandiant n’ont pas de preuves, c’est le défaut qui a été exploité. Il est également possible que les informations d’identification d’administration pour les appareils aient été obtenues à partir de journaux malveillants infostèler.

Backdoor personnalisée avec redémarrage de persistance

Ce qui se démarque de l’attaque, c’est le déploiement d’un rootkit en mode utilisateur qui persiste à travers les redémarrages de l’appareil, ce que Mandiant a surnommé Overrestep.

Les attaquants ont d’abord établi une connexion VPN à l’appareil compromis en utilisant des informations d’identification d’administration locales, puis ont ouvert un shell inversé sur l’appareil.

« L’accès aux obus ne devrait pas être possible par conception sur ces appareils, et l’enquête conjointe de Mandiant avec l’équipe de réponse aux incidents de sécurité des produits de Sonicwall (PSIRT) n’a pas identifié comment l’UNC6148 a établi ce coquille inversée », ont écrit les chercheurs. «Il est possible que la coquille inverse ait été établie via l’exploitation d’une vulnérabilité inconnue par UNC6148.»

Suite à plusieurs commandes de reconnaissance, les attaquants ont exporté puis réimplémenté la configuration de l’appareil, y compris les politiques de contrôle d’accès au réseau pour les adresses IP qu’ils contrôlaient. Enfin, une charge utile encodée de base64 a été supprimée en tant que fichier appelé /usr/lib/libsamba-errors.so.6 et a été ajouté au /etc/ld.so.preload Liste, qui contient une liste de bibliothèques à charger.

Le fichier RC qui contrôle les processus démarrés au redémarrage a été modifié pour garantir que le malware est ajouté au système de fichiers en cours d’exécution lorsque l’appareil démarre. Cela a été réalisé en ajoutant du code au bootCurrentFirmware fonction dans le rc.fwboot. Il convient de noter que ces appareils ont des systèmes de fichiers verrouillés au démarrage pour garantir que seuls des composants légitimes existent. Les administrateurs ne sont même pas censés avoir accès au système d’exploitation interne.

La porte dérobée Overstep, écrite en C, est spécialement conçue pour les appareils de série Sonicwall SMA 100. Il s’injecte dans la mémoire d’autres processus via le /etc/ld.so.preload fichier puis détourner les fonctions du système de fichiers standard telles que open, open64, readdir, readdir64et write. Cela lui permet de masquer ses composants sur le système.

L’objectif principal de la porte dérobée est de voler des mots de passe et de fournir aux attaquants un shell inversé sur le système, à travers lequel ils peuvent exécuter des commandes de shell supplémentaires.

«Dans nos enquêtes, GTIG a observé le trafic de badage des appareils compromis, mais nous n’avons pas identifié d’activités post-compromises notables», ont écrit les chercheurs. «Le succès de l’acteur à cacher leurs traces est en grande partie dû à la capacité de l’outteri httpd.log, http_request.loget inotify.log. Cette mesure anti-fondeuse, combinée à un manque d’histoire de la coquille sur le disque, réduit considérablement la visibilité dans les objectifs secondaires de l’acteur. »

Atténuations

Mandiant a suivi le ciblage des appareils SMA 100 de la série par UNC6148 depuis octobre 2024. Les chercheurs conseillent aux organisations d’analyser leurs appareils SMA 100 pour déterminer s’ils ont été compromis, même s’ils exécutent la dernière version entièrement corrigée du firmware.

Cela pourrait impliquer de parler avec Sonicwall des moyens d’extraire des images disque des appareils au lieu d’exécuter des commandes directement sur eux, car ils seraient soumis à des interférences du rootkit.

Le rapport GTIG et Mandiant comprend des indicateurs de compromis, y compris les noms de fichiers et les hachages associés aux logiciels malveillants, ainsi que les modifications de plusieurs fichiers système. Si l’une d’entre elles est trouvée, les organisations devraient isoler l’appareil touché et faire pivoter toutes les informations d’identification qui pourraient avoir été stockées sur eux.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Des exploits Zero Day ont frappé les systèmes Cisco ISE et Citrix dans le cadre d’une campagne avancée
Digital twins combine with AI
Combattre l’IA avec l’IA : robots antagonistes contre chasseurs de menaces autonomes
Back behind view photo of dark skin programmer lady look big monitor check id-address work overtime check debugging system wear specs casual shirt sit table late night office indoors
Une vulnérabilité copier-coller frappe les cadres d’inférence d’IA de Meta, Nvidia et Microsoft