Tổng quan chiến dịch tấn công SonicWall SMA
Nhóm Tình báo Mối đe dọa của Google (GTIG) đã phát hiện một chiến dịch tấn công mạng tinh vi nhắm vào các thiết bị SonicWall Secure Mobile Access (SMA) 100 series đã hết vòng đời hỗ trợ. Trong chiến dịch này, các tác nhân đe dọa đang khai thác thông tin xác thực đã bị đánh cắp trước đó và triển khai một rootkit mới có tên là OVERSTEP.
Chiến dịch này đánh dấu một sự leo thang đáng kể trong các cuộc tấn công nhắm vào các thiết bị hạ tầng mạng. Các tác nhân đe dọa đã thành công trong việc xâm nhập các thiết bị ngay cả sau khi các tổ chức đã áp dụng các bản cập nhật bảo mật mới nhất.
Tác nhân đe dọa: UNC6148
Nhóm có động cơ tài chính, được GTIG theo dõi với mã UNC6148, đã hoạt động ít nhất từ tháng 10 năm 2024. Nhóm này bị nghi ngờ đã khai thác một lỗ hổng thực thi mã từ xa (RCE) chưa biết (zero-day) để duy trì quyền truy cập liên tục vào các hệ thống đã được vá lỗi hoàn chỉnh.
GTIG đánh giá với độ tin cậy cao rằng UNC6148 đang tái sử dụng các thông tin xác thực và hạt giống mã OTP (One-Time Password) bị đánh cắp trong các vụ xâm nhập trước đó. Điều này tạo ra một mối đe dọa dai dẳng, vượt ra ngoài chu kỳ vá lỗi truyền thống.
Bằng chứng cho thấy nhóm này có thể có liên quan đến các hoạt động mã độc tống tiền (ransomware). Một tổ chức bị nhắm mục tiêu đã xuất hiện trên trang web rò rỉ dữ liệu “World Leaks” vào tháng 6 năm 2025. Ngoài ra, các chồng chéo đã được xác định với các chiến dịch khai thác SonicWall được báo cáo trước đây, liên kết với việc triển khai ransomware mang nhãn hiệu Abyss.
Phân tích Rootkit OVERSTEP
Kiến trúc và Mục đích
Phần mềm độc hại OVERSTEP đại diện cho một sự phát triển tinh vi trong việc nhắm mục tiêu vào các thiết bị mạng. Nó hoạt động như một backdoor và một rootkit chế độ người dùng (user-mode rootkit) được thiết kế đặc biệt cho các thiết bị SonicWall SMA.
Cơ chế Duy trì Quyền Truy Cập (Persistence)
OVERSTEP sửa đổi quy trình khởi động của thiết bị bằng cách tự chèn vào ảnh INITRD (Initial RAM Disk). Sau đó, nó lợi dụng cơ chế /etc/ld.so.preload để đảm bảo duy trì quyền truy cập qua các lần khởi động lại.
Cụ thể, tệp /etc/ld.so.preload chứa danh sách các thư viện chia sẻ mà trình tải động (dynamic linker) phải tải trước khi bất kỳ chương trình nào khác được thực thi. Bằng cách thêm thư viện độc hại của mình vào danh sách này, OVERSTEP có thể được tải và thực thi trong không gian bộ nhớ của mọi tiến trình, cho phép nó can thiệp vào các chức năng hệ thống ở cấp độ thấp.
Khả năng Gián điệp và Kiểm soát
Kỹ thuật này cho phép OVERSTEP chặn các cuộc gọi hệ thống từ tất cả các tiến trình đang chạy trên thiết bị bị xâm nhập, tạo ra một sự hiện diện vô hình có thể đánh cắp thông tin xác thực, thiết lập các shell đảo chiều (reverse shells) và ẩn các thành phần của chính nó khỏi quản trị viên hệ thống.
Chức năng chính của rootkit tập trung vào việc chiếm quyền các hàm thư viện tiêu chuẩn bao gồm các thao tác open, readdir và write. Khi được kích hoạt, OVERSTEP có thể nhận lệnh thông qua các yêu cầu web chứa các chuỗi cụ thể như “dobackshell” hoặc “dopasswords”. Các chuỗi này sẽ kích hoạt việc thiết lập shell đảo chiều hoặc các hoạt động đánh cắp thông tin xác thực tương ứng.
Mục tiêu Dữ liệu Nhạy cảm
Phần mềm độc hại nhắm mục tiêu vào các cơ sở dữ liệu quan trọng bao gồm temp.db và persist.db. Các tệp này chứa thông tin xác thực người dùng, mã thông báo phiên (session tokens) và giá trị hạt giống OTP, cho phép duy trì quyền truy cập ngay cả sau khi đặt lại mật khẩu.
Khả năng Chống Phân tích Pháp y (Anti-Forensic)
Ngoài ra, OVERSTEP triển khai các khả năng chống phân tích pháp y tinh vi bằng cách xóa có chọn lọc các mục nhật ký từ các tệp httpd.log, http_request.log và inotify.log. Điều này làm cản trở đáng kể các nỗ lực ứng phó sự cố.
Các lỗ hổng và tác động
Việc phát hiện ra các hoạt động của UNC6148 làm nổi bật một số lỗ hổng nghiêm trọng trong hệ sinh thái SonicWall. Bằng chứng cho thấy việc khai thác nhiều CVE đã biết, bao gồm CVE-2024-38475, lỗ hổng cho phép kẻ tấn công không được xác thực có thể trích xuất các tệp cơ sở dữ liệu nhạy cảm thông qua các cuộc tấn công duyệt thư mục (path traversal).
Tuy nhiên, việc nghi ngờ sử dụng một lỗ hổng zero-day chưa biết để triển khai OVERSTEP cho thấy rằng các phương pháp quản lý lỗ hổng truyền thống có thể không đủ hiệu quả đối phó với tác nhân đe dọa này.
Các tổ chức sử dụng thiết bị SonicWall SMA phải đối mặt với nguy cơ bị xâm nhập lại ngay lập tức ngay cả sau khi áp dụng các bản vá. Điều này là do thông tin xác thực bị đánh cắp có thể cung cấp quyền truy cập liên tục, bất kể các bản cập nhật firmware.
Biện pháp giảm thiểu và khuyến nghị
GTIG khuyến nghị mạnh mẽ rằng tất cả các tổ chức có thiết bị SMA nên thực hiện phân tích pháp y toàn diện bằng cách sử dụng các bản sao đĩa (disk images) thay vì kiểm tra hệ thống trực tiếp (live system examination). Điều này là cần thiết vì khả năng rootkit của OVERSTEP có thể ẩn bằng chứng về sự xâm nhập khỏi các phương pháp phát hiện tiêu chuẩn.
Các bước giảm thiểu quan trọng bao gồm:
- Thay đổi ngay lập tức tất cả thông tin xác thực, bao gồm mật khẩu và liên kết OTP, cho tất cả người dùng.
- Thu hồi và cấp lại chứng chỉ với khóa riêng được lưu trữ trên thiết bị.
- Triển khai giám sát nâng cao cho các phiên VPN đáng ngờ từ các địa chỉ IP bên ngoài.
Thời gian kéo dài của chiến dịch, với một số vụ xâm nhập xảy ra nhiều tháng trước khi triển khai ransomware, nhấn mạnh tầm quan trọng của việc chủ động săn tìm mối đe dọa (threat hunting) và khả năng tồn tại các sự xâm nhập tiềm ẩn trong các môi trường bị ảnh hưởng.
