بوابة الخطر: اختراق أجهزة SonicWall باستخدام OVERSTEP
Backdooring SonicWall SMA 100 with OVERSTEP Rootkit
إعداد: مايسترو نيرو - فريق الأمن السيبراني
تم الكشف عن مجموعة تهديد تُعرف باسم UNC6148 تستهدف أجهزة SonicWall SMA 100 القديمة والمحدثة بالكامل، من خلال زرع باب خلفي يُدعى OVERSTEP يمكنه تجاوز كل الحمايات التقليدية.
طريقة الوصول والاختراق
على الرغم من أن طريقة الدخول الأولي غير معروفة بدقة، تشير تحليلات Google إلى أن المهاجمين ربما استخدموا ثغرات معروفة مثل CVE-2021-20035 أو CVE-2025-32819 أو حتى استغلوا بيانات دخول مسروقة.
وظيفة البرمجية الخبيثة
بمجرد الوصول، يتم تفعيل جلسة VPN مشفرة، وفتح reverse shell لتنفيذ أوامر تجسس وتعديل ملفات، وتنتهي بزرع الباب الخلفي OVERSTEP الذي يعدل عملية إقلاع الجهاز لضمان البقاء والتخفي.
معلومة تقنية: يستخدم OVERSTEP rootkit في طبقة المستخدم عبر تعديل دوال مثل open وreaddir وwrite لتنفيذ الأوامر وتجنب اكتشافه من قبل الأنظمة الأمنية.
أهداف الهجوم
التحقيقات تُظهر أن المجموعة تهدف إلى سرقة البيانات، إنشاء نقاط وصول دائمة، وإعداد البنية التحتية لهجمات فدية مستقبلية. حتى بعد تحديث الأنظمة، تمكن المهاجمون من استعادة الدخول بفضل سرقة OTP والتلاعب بالإعدادات.
الدلائل على الاتصال بهجمات فدية
إحدى الجهات الضحية ظهرت لاحقًا على موقع تسريبات تابع لعصابة World Leaks، وهي مجموعة يُشتبه في صلتها بمنظمة Hunters International للفدية، مما يربط الهجوم بجوانب مالية واستغلالية أكبر.
التحليل الجنائي والتوصيات
يوصي الخبراء بجمع صورة كاملة للقرص الصلب من الجهاز المخترق لتحليل آثار rootkit، مع ضرورة التعاون مع SonicWall لأخذ النسخ من الأجهزة المادية، وتحديث أنظمة الدفاع حول الشبكة الطرفية (Edge Systems).
يشير هذا الهجوم إلى توجه متزايد نحو استهداف أنظمة الشبكة الطرفية التي لا تغطيها أدوات الحماية التقليدية، ما يتطلب استجابة أمنية متقدمة وشاملة لتأمين هذه الفجوة الخطيرة.
آخر تحديث: 16 يوليو 2025