SonicWall SSL VPN 공격 벡터, OVERSTEP 배포와 MFA 우회 기법

업계에 보고된 두 가지 공격 방식은 공통적으로 SonicWall SSL VPN을 침투 경로로 삼지만, 접근 방식과 위협 방식에 뚜렷한 차이를 보인다.
UNC6148 해킹 그룹은 커널 레벨의 루트킷을 통해 시스템 내부에 은밀히 상주하는 전략을 사용한 반면, Akira 랜섬웨어 그룹은 인증 시스템 자체를 우회해 공격 초기 단계부터 권한을 확보하는 방식을 취하고 있다.

UNC6148의 OVERSTEP 루트킷 악성코드 배포

OVERSTEP은 SonicWall SMA 100 시리즈(SMA 210, 410, 500v 등)를 표적으로 설계된 커널 레벨 루트킷이다. 위협 행위자는 이를 통해 감지 없이 관리자 권한을 획득하고, 장기간 시스템 내부에 머물며 명령 실행, 데이터 탈취, 백도어 설치 등의 악성 행위를 수행할 수 있다.

해당 악성코드는 리눅스 기반 펌웨어의 업데이트 과정을 악용해 루트 권한으로 설치되며, SonicWall은 이를 제거하기 위한 전용 펌웨어를 2025년 6월 배포했다.

Akira 랜섬웨어 조직의 MFA 우회 침투 기법

Akira 조직은 SonicWall SSL VPN 계정 정보를 이용해 MFA(다단계 인증)를 우회하거나 무력화하는 방식으로 인증 절차를 통과하고 있다. 보안기업 Arctic Wolf에 따르면, OTP를 여러 차례 재시도하거나, 이전 침해에서 탈취한 OTP 시드를 재사용했을 가능성이 높다.

SonicWall은 이와 관련해 제로데이 가능성을 부인했으며, 알려진 취약점CVE-2024-40766(2024년 8월 패치)와 관련된 공격임을 밝혔다. 그러나 이미 유출된 계정 정보가 여전히 악용되고 있다는 점에서 단순한 패치로는 충분하지 않다는 우려가 크다.

SonicWall SSL VPN 장치의 공격 표면 노출 현황

위협 헌팅 검색엔진 Criminal IP Asset Search를 통해 SonicWall SSL VPN의 공격 표면 노출 현황을 확인해보았다. SonicWall SMA 장치를 찾으려면 product 필터를 사용해 product:sma 쿼리로 검색 할 수 있다.