Google выявил специально разработанное вредоносное ПО для бэкдора, нацеленное на устройства SonicWall.

Злоумышленники похищают конфиденциальные данные из организаций, взламывая устаревшие устройства, произведенные компанией SonicWall. Специалисты по реагированию на инциденты из Google Threat Intelligence Group (GTIG) и Mandiant сообщили в среду, что обнаружили продолжающуюся кампанию неустановленной группы злоумышленников, использующих учетные данные и ключи для одноразовых паролей (OTP), украденные в ходе предыдущих вторжений. Это позволяет хакерам восстанавливать доступ к организациям даже после установки обновлений безопасности.

Кампания нацелена на полностью обновленные, но вышедшие из поддержки устройства SonicWall Secure Mobile Access (SMA) 100 серии. Google поясняет, что вредоносное ПО, используемое хакерами, удаляет записи в журналах, что затрудняет определение способа первоначального получения доступа к системе. Google отмечает, что кампания выходит за рамки проанализированных ими инцидентов и добавляет, что SonicWall подтверждает сообщения о других пострадавших организациях. Компания также отметила, что SonicWall обновила консультацию по уязвимости, отслеживаемой как CVE-2024-38475, в свете результатов, полученных Google.

“В качестве дополнительной меры безопасности мы настоятельно рекомендуем клиентам сбросить привязку OTP (одноразового пароля) для всех пользователей. Этот шаг гарантирует, что любые потенциально скомпрометированные или устаревшие секреты OTP будут аннулированы, что снижает риск несанкционированного доступа”, – говорится в обновленной консультации от SonicWall.

Особенностью этой кампании является использование бэкдора под названием OVERSTEP, который изменяет процесс загрузки устройства SonicWall для поддержания постоянного доступа, кражи конфиденциальных учетных данных и сокрытия собственных компонентов вредоносного ПО. Специалистам по реагированию на инциденты было сложно отслеживать другие действия хакеров, поскольку OVERSTEP позволял им удалять журналы и в значительной степени заметать следы. OVERSTEP разработан специально для устройств SonicWall SMA 100 серии, согласно информации от Google. Помимо CVE-2024-38475, эксперты Google и Mandiant предположили несколько потенциальных уязвимостей, которые могли быть использованы хакерами для получения первоначального доступа, включая CVE-2021-20038, CVE-2024-38475, CVE-2021-20035, CVE-2021-20039 и CVE-2025-32819. Кроме того, Google предполагает, что хакеры могли использовать неизвестную уязвимость нулевого дня для развертывания вредоносного ПО на целевых устройствах SonicWall SMA.