Nos últimos meses, dispositivos SonicWall Secure Mobile Access (SMA) 100 Series, já descontinuados, tornaram-se alvos de uma campanha sofisticada de ciberataques. Liderada pelo grupo UNC6148, a campanha utiliza um novo malware chamado Overstep, que atua como backdoor e rootkit, comprometendo a segurança de appliances totalmente atualizadas, mas em fim de vida (EOL).
Este artigo detalha a campanha, seus métodos e as medidas que as organizações devem adotar para se proteger. Baseado em relatórios da SecurityWeek, exploramos os aspectos técnicos e as implicações desse ataque.
Como o Overstep Compromete Dispositivos SonicWall
O Overstep é um malware projetado especificamente para os dispositivos SonicWall SMA 100 Series. Ele opera como um backdoor persistente e rootkit em modo de usuário, modificando o processo de inicialização do sistema para garantir acesso contínuo. O grupo UNC6148, ativo desde pelo menos outubro de 2024, utiliza credenciais administrativas roubadas, possivelmente obtidas por meio de vulnerabilidades conhecidas, como CVE-2021-20038 ou CVE-2024-38475, para iniciar uma sessão SSL-VPN. A partir daí, os atacantes criam um reverse shell, algo que, por design, não deveria ser possível nesses dispositivos.
Por exemplo, após obterem acesso, os atacantes realizam reconhecimento no sistema, manipulam arquivos e implantam o Overstep, que se integra ao processo de boot via modificações no arquivo `/etc/ld.so.preload`. Isso permite que o malware seja carregado em todos os processos dinâmicos, ocultando seus componentes ao interceptar chamadas de sistema como `open`, `readdir` e `write`. “O Overstep é personalizado para funcionar no layout específico do sistema de arquivos do SMA e filtra atividades de log para encobrir seus rastros”, afirmou Zander Work, engenheiro sênior de segurança do Google Threat Intelligence Group (GTIG), destacando a sofisticação do ataque.
Além disso, o malware remove seletivamente entradas de logs, como `httpd.log` e `inotify.log`, dificultando a investigação forense. A suspeita de exploração de uma vulnerabilidade zero-day ainda não confirmada aumenta a gravidade do problema, já que appliances atualizadas permanecem vulneráveis.
Impactos e Conexões com Ransomware
O Overstep não apenas garante persistência, mas também permite a extração de dados sensíveis, como credenciais, tokens de sessão e sementes de senhas de uso único (OTP). Esses dados, armazenados em arquivos como `persist.db` e certificados no diretório `/etc/EasyAccess/var/cert`, podem ser usados para acessos futuros ou ataques de extorsão. Por exemplo, uma organização comprometida em maio de 2025 apareceu no site de vazamento de dados “World Leaks” em junho, sugerindo que o UNC6148 pode estar envolvido em operações de roubo de dados e extorsão.
Os pesquisadores também observaram sobreposições entre as táticas do UNC6148 e campanhas anteriores que implantaram o ransomware Abyss (rastreado como VSOCIETY pelo GTIG). Incidentes relatados em 2023 e 2024, investigados por empresas como Truesec e InfoGuard AG, indicaram que ataques a dispositivos SMA culminaram na entrega de ransomware. Portanto, organizações com dispositivos EOL enfrentam riscos significativos, incluindo roubo de dados e interrupções operacionais causadas por ransomware.
Medidas de Mitigação e Recomendações
Para proteger suas redes, as organizações devem agir rapidamente. Primeiro, é essencial realizar uma análise forense detalhada, utilizando imagens de disco para evitar interferências do rootkit. A SonicWall, em colaboração com o GTIG, recomenda a substituição de dispositivos EOL por modelos mais recentes, como a série SMA 1000, já que o suporte para a série 100 será encerrado em 31 de dezembro de 2025, antecipado de outubro de 2027. “Em resposta ao cenário de ameaças em evolução, a SonicWall acelerará a data de fim de suporte para a série SMA 100”, afirmou a empresa, enfatizando a necessidade de modernização.
Além disso, as organizações devem rotacionar todas as credenciais, incluindo senhas e sementes de OTP, e revogar certificados SSL/TLS armazenados nos dispositivos. Monitorar sessões VPN para IPs externos desconhecidos e verificar modificações em arquivos como `/etc/rc.d/rc.fwboot` ou `FLASH.DAT` também é crucial. Por fim, implementar autenticação multifator (MFA) e limitar contas administrativas ativas reduz os riscos de exploração.
Conclusão
A campanha do UNC6148 contra dispositivos SonicWall SMA 100 Series destaca a vulnerabilidade de appliances EOL, mesmo quando totalmente atualizadas. O malware Overstep, com sua capacidade de persistência e ocultação, representa uma ameaça significativa, potencialmente ligada a operações de ransomware. Portanto, as organizações devem adotar medidas proativas, como análise forense, rotação de credenciais e migração para dispositivos suportados, para mitigar esses riscos. A sofisticação do ataque reforça a importância de manter a infraestrutura de rede atualizada e monitorada constantemente.
About The Author
