黑客有备而来

黑客针对的是已停止支持（EoL）的 SonicWall SMA 100 系列设备，该设备用于为本地网络、云端或混合数据中心中的企业资源提供安全远程访问。

目前尚不清楚攻击者是如何获得初始访问权限的，但在调查 UNC6148 的攻击过程中，研究人员发现该威胁行为者已经掌握了目标设备的本地管理员凭据。

“谷歌威胁情报组（GTIG）高度确定，UNC6148 在目标 SMA 设备更新至最新固件版本（10.2.1.15-81sv）之前，利用了一个已知漏洞窃取了管理员凭据。”

通过分析网络流量元数据，研究人员发现证据表明，UNC6148 可能在今年一月就已窃取了目标设备的凭据。

攻击者可能利用了多个“n-day”漏洞（CVE-2021-20038、CVE-2024-38475、CVE-2021-20035、CVE-2021-20039、CVE-2025-32819）实施攻击，这些漏洞中最早的于 2021 年披露，最新的则是在 2025 年 5 月。

其中，攻击者可能利用了 CVE-2024-38475 漏洞，因为该漏洞可泄露“本地管理员凭据和可被 UNC6148 重用的有效会话令牌”。

不过，来自谷歌旗下的事件响应团队 Mandiant 表示，尚无法确认攻击者是否确实利用了该漏洞。

反向 Shell 之谜

在今年 6 月的一次攻击中，UNC6148 利用本地管理员凭据通过 SSL-VPN 会话连接至目标 SMA 100 系列设备。

尽管从设计上来说该类设备不应允许 Shell 访问，但攻击者仍成功发起了一个反向 Shell 会话。

SonicWall 产品安全事件响应团队（PSIRT）试图调查攻击者是如何实现这一行为的，但未能得出明确结论，其中一个可能的原因是攻击者利用了尚未公开的安全漏洞。

通过获得对设备的 Shell 访问权限，威胁行为者随后执行了侦察、文件操作，并导入了一组设置，其中包含新的网络访问控制策略规则，用以允许来自攻击者 IP 地址的连接请求。

OVERSTEP Rootkit 不留痕迹

在获取设备控制权限后，UNC6148 通过一系列命令部署了名为 OVERSTEP 的 Rootkit，该恶意程序通过 base64 解码得到二进制文件，并作为 .ELF 文件植入设备系统。

“安装完成后，攻击者手动清除了系统日志并重启了设备，从而激活了 OVERSTEP 后门。”——谷歌威胁情报组

OVERSTEP 是一种后门程序，可建立反向 Shell 连接并从主机中窃取密码信息。同时，它还具备用户态 Rootkit 功能，能够隐藏自身组件，在受害设备中长期潜伏而不被发现。