SonicWall Secure Mobile Access攻击 | 疫情警报 | FortiGuard实验室
概述
针对SonicWall SMA 100系列设备的新型自定义后门恶意软件攻击活动正在被积极利用,攻击者利用已知漏洞和潜在零日漏洞获取对企业网络的持久访问权限。威胁参与者部署了基于Linux的自定义rootkit以实现隐身和长期持久性。
常见漏洞和暴露
- CVE-2024-38475
- CVE-2021-20038
- CVE-2021-20035
- CVE-2021-20039
- CVE-2025-32819
背景分析
这一持续进行的攻击活动由Google威胁情报组(GTIG)识别,并已以中等置信度归因于疑似出于经济动机的威胁行为者UNC6148。攻击者混合使用已知漏洞和可能的未知(零日)缺陷入侵这些设备。一旦进入,他们窃取管理员凭证和一次性密码(OTP)数据,使他们能够通过VPN重新连接,并在安装安全更新后长期隐藏在网络中。
该攻击活动重点利用边缘设备作为进入公司系统的入口点。攻击活动的关键组成部分是部署OVERSTEP,这是一个基于Linux的自定义rootkit,专为隐身和持久性设计。安装在目标设备上的OVERSTEP允许攻击者保持控制,外泄敏感凭证和证书,操纵日志以擦除证据,并启动出站通信以进行命令和控制。
威胁雷达
总体评分:4.8
- CVSS评级:9.8
- FortiRecon评分:91/100
- 已知利用:是
- 漏洞利用预测评分:94.29%
- FortiGuard遥测:22745
最新进展
使用受影响SMA100设备的组织应检查潜在危害,轮换凭证,并进行深度取证分析。
- 2025年7月16日:Google威胁情报组发布威胁博客
- 2025年5月7日:SonicWall发布CVE-2025-32819安全公告
- 2024年3月12日:SonicWall发布CVE-2024-38475安全公告
- 2023年2月14日:FortiGuard关于DPRK利用CVE-2021-20038的威胁信号
- 2021年7月7日:SonicWall发布CVE-2021-20038安全公告
FortiGuard网络安全框架
防护
- 漏洞管理
- 入侵防护系统
- Web应用安全
- Web和DNS过滤
- 僵尸网络C&C防护
检测
- 危害指标
- 疫情检测
响应
- 自动化响应
- 辅助响应服务
恢复
- NOC/SOC培训
- 最终用户培训
识别
- 漏洞管理
- 攻击面加固
威胁情报
危害指标列表
| 指标 | 类型 | 状态 |
|---|---|---|
| 095036f9669230cb69b42eb5e6d91fdbe46ab61e | 文件 | 活跃 |
| 104.238.205.105 | IP | 活跃 |
| 104.238.220.216 | IP | 活跃 |
| 107.158.128.106 | IP | 活跃 |
| 142.252.99.59 | IP | 活跃 |
威胁活动统计
- 过去24小时:37次
- 趋势:-99%
主要目标国家
- 德国:25,083
- 意大利:14,024
- 法国:10,513
- 波兰:9,549
主要目标行业
- 技术:21,619
- 汽车:10,817
- 教育:10,676
- 电信/运营商:9,087
入侵防护统计
SonicWall SMA Viewcert认证远程代码执行
- 过去24小时:2次
- 趋势:0%
SonicWall SMA100 mod_cgi缓冲区溢出
- 过去24小时:961次
- 趋势:-34%