駭客鎖定生命週期終結(EOL)、結束服務(EOS)的網路設備而來,利用廠商不會修補的已知漏洞對這些設備上下其手的現象,不時有資安事故傳出,他們大部分針對的目標,是缺乏資安防護與定期更新的路由器、網路儲存設備、視訊監控設備,但如今有人鎖定資安設備而來。
例如,最近Google威脅情報團隊(GTIG)揭露駭客組織UNC6148的攻擊行動,就是典型的例子。這些駭客專門針對SonicWall Secure Mobile Access(SMA)100系列的SSL VPN設備而來,他們入侵設備的管道,疑似利用過往外流的帳密資料與動態密碼(OTP),使得受害組織的IT人員套用安全更新之後,仍能重新取得相關存取權限。值得留意的是,這些駭客並非鎖定未定期修補的企業組織,而是已經套用最新版韌體,但已經生命週期終止的SMA設備。
究竟這些駭客初期如何感染受害設備?GTIG指出,由於駭客植入的惡意軟體會刪除特定事件記錄,他們推測應該是利用已知漏洞來達到目的。
其中,在最新一波的攻擊行動裡,UNC6148部署名為Overstep的惡意程式,此為使用者模式的Rootkit,也能充當後門程式運用,它會竄改設備的開機流程,竊取敏感的帳密資料,並隱匿自己的元件,從而持續於受害設備活動。而對於駭客植入這支惡意程式的管道,GTIG懷疑是利用尚未公開的零時差漏洞,並在受害設備遠端執行程式碼(RCE)而得逞。
針對駭客發動攻擊的目的,很有可能是為了竊取資料進行勒索,甚至不排除會部署勒索軟體來施壓。GTIG看到UNC6148在今年5月至6月,將受害組織的資料發布到World Leaks網站。
對於UNC6148的活動,至少可追溯至2024年10月。在其中一起事故的調查中,駭客很可能在今年1月就竊得管理員帳密資料,以便後續植入Overstep,而這些駭客利用的已知漏洞,很可能包含:CVE-2021-20035、CVE-2021-20038、CVE-2021-20039、CVE-2024-38475、CVE-2025-3281。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
