详细内容或原文请订阅后点击阅览
犯罪
根据Google Intelligence Group的说法,根据Google Intelligence Group的说法,根据Google Intelligence Group的说法,Markunknown的不法行为正在利用完全修补的,寿命的SonicWall VPN来部署以前未知的后门和Rootkit,这可能是用于数据盗窃和勒索的。
来源:The Register _恶意软件根据Google的威胁情报集团的说法,根据Google的威胁情报小组的说法,根据Google的威胁情报小组的说法,未知的不法行为正在利用完全修补的,寿命的SonicWall VPN来部署以前未知的后门和Rootkit,这可能是用于数据盗窃和勒索的。
更新在周三发表的研究中,巧克力工厂的英特尔分析师将持续的运动归因于UND6148- UNC在Google的威胁性命名命名分类法中代表“未分类”。 他们似乎正在使用一个被称为“超级配音”的后门rootkit。
一旦恶作剧损害了Sonicwall设备,他们就部署了以前未知的后门。恶意软件修改了设备的启动过程,以维持持久的访问权限,使罪犯能够窃取敏感的凭证并隐藏自己的组件。
研究人员“充满信心地评估犯罪分子正在滥用以前被盗的证书和一次性密码种子,这使他们能够保持对受损的SonicWall安全移动访问(SMA)100系列电器的访问,即使组织已经修补了虫子VPN。
攻击的工作原理
Mandiant是Google的事件响应部门,调查了与此UNC6148广告系列相关的一项入侵,并确定6月,使用本地管理员凭证,机组人员在Sonicwall Gear上建立了SSL-VPN会话。
“ Mandiant在最近的一项调查中对UNC6148的第一个观察结果表明,他们已经对有针对性的SMA 100系列设备具有本地管理员凭证,并且没有法医证据和其他数据确定以显示如何获得这些证书的获得。”
报告此外,由于恶意软件有选择地删除日志条目,因此对攻击者初始感染向量的可见性不大。
但是,Googles说,他们很可能利用已知漏洞,包括:CVE-2021-20038,CVE-2024-38475,CVE-2021-20035,CVE-2021-20039,或CVE-2021-20039或CVE-2025-32819。
CVE-2021-20038 CVE-2024-38475 CVE-2021-20035 CVE-2021-20039