详细内容或原文请订阅后点击阅览
UNC6148在Sonicwall设备上部署超级恶意软件,可能用于勒索软件操作
unc6148使用后门和rootkit用于数据盗窃,勒索或勒索软件,将带有超级恶意软件的Sonicwall设备定位。 Google的威胁情报小组警告说,一个追踪为UND6148的威胁演员一直以新恶意软件为目标,以瞄准Sonicwall SMA电器。至少从2024年10月起就活跃,该小组使用后门和用户模式Rootkit […]
来源:Security Affairs _恶意软件UNC6148在Sonicwall设备上部署超级恶意软件,可能用于勒索软件操作
unc6148使用后门和rootkit用于数据盗窃,勒索或勒索软件,将带有超级恶意软件的Sonicwall设备定位。
Google的威胁情报小组警告说,一个追踪为UND6148的威胁演员一直以新恶意软件为目标,以越过的新恶意软件为目标。至少从2024年10月起就活跃,该小组使用后门和用户模式Rootkit可能会启用数据盗窃,勒索或勒索软件攻击。尽管这些活动表明了经济动机,但研究人员尚未确定这些活动。
“ GTIG高度信心评估UNC6148正在利用凭据和一次性密码(OTP)种子在先前的入侵中偷来的种子,即使组织应用了安全更新,也可以重新获得访问权限。”阅读Google发布的报告。 “最初感染向量的证据是有限的,因为演员的恶意软件旨在有选择地删除日志条目,阻碍了法医调查;但是,这很可能是通过剥削已知漏洞。”
报告Google的威胁情报小组(GTIG)对UNC6148使用零日的RCE脆弱性来评估,以在Sonicwall SMA设备上部署超级步骤恶意软件。
2025年5月的受害者于6月出现在“世界泄漏”数据泄漏站点上。 UNC6148的活动与早期的Sonicwall利用与Abyss/Vsociety勒索软件有关的较早的Sonicwall漏洞重叠。
在2025年6月,威胁集团UNC6148通过使用被盗管理凭据建立VPN会话来损害Sonicwall SMA 100系列设备。一旦他们获得了该设备的访问权限,他们就推出了反向外壳,尽管这不受设备设计的支持,这可能是通过未知的漏洞来源的。
/etc/ld.so.preload
rc.fwboot
kexec
最后,攻击者清除了日志并重新启动了设备,激活了rootkit并确保持久,特权访问权限。
打开
Open64
readdir
readdir64
写
dobackshell