End-of-life SonicWall Secure Mobile Access (SMA) 100 series appliances zijn doelwit van gerichte cyberaanvallen. Bij de aanvallen maakt de aanvaller ook inloggegevens en one-time passwords (OTP's) buit, waarmee in een later stadium opnieuw toegang kan worden verkregen tot de apparaten.

Hiervoor waarschuwt het Google Threat Intelligence Group (GTIG). De aanvallen zijn gericht op volledig gepatchte SonicWall SMA 100 serie appliances, die doordat zij end-of-life zijn geen nieuwe security-updates meer ontvangen. GTIG meldt dat de aanvallen moeilijk detecteerbaar zijn, aangezien de gebruikte malware actief zijn sporen wist en forensisch onderzoek verhindert.

De aanvallen zijn toegeschreven aan een threat actor die UNC6148 wordt genoemd. De aanvaller maakt daarbij gebruik van een nieuw ontdekte persistent backdoor/user-mode rootkit, die door GTIG OVERSTEP wordt genoemd. De malware past het bootproces van het apparaat aan, met als doel persistente toegang te realiseren, inloggegevens buit te maken en zijn eigen componenten te verbergen. GTIG meldt met enige zekerheid te hebben vastgesteld dat UNC6148 bij de aanvallen een onbekende zero-day remote code execution (RCE)-kwetsbaarheid heeft ingezet voor het uitrollen van OVERSTEP op de SonicWall SMA-appliances.

UNC6148 is naar verluid sinds oktober 2024 actief. Het doel van de aanvalscampagne is vermoedelijk het stelen van data en afpersen van getroffen organisaties. Mogelijk wil de aanvaller echter ook ransomware uitrollen.