駭客利用SonicWall裝置植入「隱形後門」，恐長期竊取組織機密

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心Google威脅情報小組（GTIG）揭露一個被名為「UNC6148」的駭客組織。 對SonicWall網路安全設備（SMA100系列）展開攻擊。 即使設備已經安裝官方的更新修補，駭客仍能利用先前竊取的管理憑證和一次性密碼（OTP）重新取得權限，顯示這次攻擊具針對性與隱蔽性。 資安公司Mandiant調查發現，駭客組織已掌握目標設備的本地管理員憑證，然而，這些憑證取得方式仍未知。 根據SonicWall公布的韌體修補時間表與針對漏洞的公開報告，GTIG推測駭客組織可能利用漏洞在目標設備更新前竊取管理員憑證。 來自SonicWall和資安業界的報告指出，UNC6148可能利用以下幾項漏洞： CVE-2021-20038 (CVSS:9.8)為堆疊緩衝區溢位漏洞，允許未經身分驗證的遠端攻擊者執行程式碼。 CVE-2024-38475 (CVSS:9.1)是Apache HTTP Server 存在未經驗證的路徑遍歷漏洞，影響SAM 100系列設備。 watchTowr曾揭露該漏洞與CVE-2023-44221可組合成攻擊鏈。 目前尚未有證據表明UNC6148使用此漏洞鏈。 CVE-2021-20035 (CVSS:6.5)和CVE-2021-20039 (CVSS:8.8)皆為命令注入漏洞，允許經過身分驗證的遠端攻擊者注入任意命令。 CVE-2025-32819 (CVSS:8.8)允許具有SSLVPN使用者權限的遠端攻擊者，繞過路徑遍歷保護機制，刪除任意系統檔案。 一旦駭客組織入侵 SonicWall SMA100系列設備，就會植入一個名為「OVERSTEP」的惡意程式。 這是一種專為SonicWall SMA100系列設備設計的C語言後門程式，能在設備重新開機後持續運作，並可與駭客伺服器建立反向連線（反向 shell），竊取企業內部帳號、密碼與憑證等敏感資料，甚至進一步發動勒索攻擊。 為了躲避偵測，OVERSTEP還會偽裝成系統檔案、刪除系統日誌與攻擊紀錄，使資安人員難以追蹤其入侵行為。 目前已知的受害企業及組織範圍廣泛，包括中小企業、政府機關、醫療機構等。 GTIG 發現，有些企業在被駭後，其機密資料甚至被公開在「World Leaks」網站。 此外，該駭客組織與部署Abyss勒索病毒有關聯，說明攻擊目的不只是竊取資料，還可能發展成勒索行動。 這次的攻擊活動不像一般駭客入侵，是一場精心策劃且持續滲透的高階攻擊。 即使設備已更新，駭客仍能利用過去竊取的憑證和密碼重新入侵。 一旦被攻擊，整個組織和合作夥伴都可能受到影響。 GTIG 建議： 立即檢查是否使用 SonicWall SMA 100 系列設備 重新設定所有密碼與一次性密碼（OTP） 更換裝置上的所有憑證與私鑰 檢查系統日誌是否有異常或可疑程式執行 必要時尋求SonicWall或資安公司協助，執行數位鑑識分析Google威脅情報小組（GTIG）揭露一個被名為「UNC6148」的駭客組織。 對SonicWall網路安全設備（SMA100系列）展開攻擊。 即使設備已經安裝官方的更新修補，駭客仍能利用先前竊取的管理憑證和一次性密碼（OTP）重新取得權限，顯示這次攻擊具針對性與隱蔽性。 資安公司Mandiant調查發現，駭客組織已掌握目標設備的本地管理員憑證，然而，這些憑證取得方式仍未知。 根據SonicWall公布的韌體修補時間表與針對漏洞的公開報告，GTIG推測駭客組織可能利用漏洞在目標設備更新前竊取管理員憑證。 來自SonicWall和資安業界的報告指出，UNC6148可能利用以下幾項漏洞： CVE-2021-20038 (CVSS:9.8)為堆疊緩衝區溢位漏洞，允許未經身分驗證的遠端攻擊者執行程式碼。 CVE-2024-38475 (CVSS:9.1)是Apache HTTP Server 存在未經驗證的路徑遍歷漏洞，影響SAM 100系列設備。 watchTowr曾揭露該漏洞與CVE-2023-44221可組合成攻擊鏈。 目前尚未有證據表明UNC6148使用此漏洞鏈。 CVE-2021-20035 (CVSS:6.5)和CVE-2021-20039 (CVSS:8.8)皆為命令注入漏洞，允許經過身分驗證的遠端攻擊者注入任意命令。 CVE-2025-32819 (CVSS:8.8)允許具有SSLVPN使用者權限的遠端攻擊者，繞過路徑遍歷保護機制，刪除任意系統檔案。 一旦駭客組織入侵 SonicWall SMA100系列設備，就會植入一個名為「OVERSTEP」的惡意程式。 這是一種專為SonicWall SMA100系列設備設計的C語言後門程式，能在設備重新開機後持續運作，並可與駭客伺服器建立反向連線（反向 shell），竊取企業內部帳號、密碼與憑證等敏感資料，甚至進一步發動勒索攻擊。 為了躲避偵測，OVERSTEP還會偽裝成系統檔案、刪除系統日誌與攻擊紀錄，使資安人員難以追蹤其入侵行為。 目前已知的受害企業及組織範圍廣泛，包括中小企業、政府機關、醫療機構等。 GTIG 發現，有些企業在被駭後，其機密資料甚至被公開在「World Leaks」網站。 此外，該駭客組織與部署Abyss勒索病毒有關聯，說明攻擊目的不只是竊取資料，還可能發展成勒索行動。 這次的攻擊活動不像一般駭客入侵，是一場精心策劃且持續滲透的高階攻擊。 即使設備已更新，駭客仍能利用過去竊取的憑證和密碼重新入侵。 一旦被攻擊，整個組織和合作夥伴都可能受到影響。 GTIG 建議： 立即檢查是否使用 SonicWall SMA 100 系列設備 重新設定所有密碼與一次性密碼（OTP） 更換裝置上的所有憑證與私鑰 檢查系統日誌是否有異常或可疑程式執行 必要時尋求SonicWall或資安公司協助，執行數位鑑識分析 See more: https://www.twcert.org.tw/tw/cp-104-10327-984d9-1.html