据报道,黑客团体UNC6148利用一种名为OVERSTEP的恶意软件攻击了已停止支持的SonicWall Secure Mobile Access设备。该恶意软件通过修改设备的启动过程,允许黑客隐藏恶意组件,并保持对设备的持续访问,从而窃取敏感凭证。
Google Threat Intelligence Group的研究人员观察到,这种攻击可能依赖于某个未知的零日远程代码执行漏洞。UNC6148的活动至少可以追溯到去年十月,最近一次攻击发生在今年五月。被盗的文件随后被发布在World Leaks数据泄露网站上,研究人员认为UNC6148不仅从事数据盗窃和敲诈勒索,还可能部署了Abyss勒索软件。
黑客主要针对SonicWall SMA 100系列设备,这些设备提供企业资源的安全远程访问。虽然目前尚不清楚黑客是如何获得初始访问权限的,但研究人员注意到,攻击者已经拥有目标设备的本地管理员凭证。