一位匿名读者引用了《The Record》的一篇报道:威胁行为者正在通过入侵网络安全公司 SonicWall 生产的报废设备窃取组织机构的敏感数据。谷歌威胁情报小组 (GTIG) 和 Mandiant 的事件响应人员周三表示,他们发现了一个身份不明的威胁组织正在进行的攻击活动,该组织利用先前入侵过程中窃取的凭证和一次性密码 (OTP) 种子,即使在安装了安全更新后,黑客也能重新获得对组织的访问权限。[…] 该攻击活动的目标是已完全修补的报废 SonicWall Secure Mobile Access (SMA) 100 系列设备。谷歌解释说,黑客使用的恶意软件会删除日志条目,因此很难查明他们最初是如何获得系统访问权限的。谷歌表示,此次攻击活动的范围超出了他们直接调查的事件,并补充说 SonicWall 已经“确认了其他受影响组织的报告”。该公司指出,SonicWall 已根据谷歌的发现更新了针对漏洞 CVE-2024-38475 的公告。“作为一项额外的安全措施,我们强烈建议客户重置所有用户的 OTP(一次性密码)绑定。此举可确保任何可能被泄露或过期的 OTP 密钥失效,从而降低未经授权的访问风险,”SonicWall 在公告更新中表示。此次攻击活动的一个新特点是使用了名为 OVERSTEP 的后门,该后门会修改 SonicWall 设备的启动过程,以保持持续访问、窃取敏感凭据并隐藏恶意软件自身的组件。事件响应人员难以追踪黑客的其他活动,因为 OVERSTEP 允许黑客删除日志并在很大程度上掩盖其踪迹。据谷歌称,OVERSTEP 专为 SonicWall SMA 100 系列设备设计。除了 CVE-2024-38475 之外,谷歌和 Mandiant 的专家还提出了黑客可能用来获取初始访问权限的几个潜在漏洞,包括 CVE-2021-20038、CVE-2024-38475、CVE-2021-20035、CVE-2021-20039 和 CVE-2025-32819。除此之外,谷歌推测黑客可能利用了一个未知的零日漏洞在目标 SonicWall SMA 设备上部署了恶意软件。
在 Slashdot 上阅读更多内容。