กูเกิลแจ้งเตือนกลุ่มแฮกเกอร์ไล่แฮกไฟร์วอลล์ SonicWall เก่า
Body
Google Threat Intelligence Group (GTIG) รายงานถึงกลุ่มแฮกเกอร์ UNC6148 ที่กำลังไล่แฮกไฟร์วอลล์ SonicWall Secure Mobile Access (SMA) 100 ที่หมดอายุซัพพอร์ตไปแล้ว แม้ว่าภายหลัง SonicWall จะออกแพตช์อุดช่องโหว่ให้ แต่ก็มีบางองค์กรติดตั้งแพตช์โดยไม่เปลี่ยนรหัสผ่าน ทำให้แฮกเกอร์เข้าถึงระบบได้อยู่ดี
SMA-100 ถูกแฮกตั้งแต่ช่วงปี 2023-2024 โดยตัวสินค้านั้นหมดอายุซัพพอร์ตไปตั้งแต่ปี 2017
ในช่วงเดือนมิถุนายนที่ผ่านมา Mandiant พบร่องรอยการแฮก SMA-100 ผ่านทาง SSL VPN แล้ววาง reverse shell ไว้ในเครื่อง สุดท้ายก็จะวางมัลแวร์ OVERSTEP ทิ้งไว้ให้เรียกใช้งานในอนาคต โดยวางเป็น shared object อยู่ใน
ทาง GTIC แนะนำว่าองค์กรที่ยังมี SMA-100 ใช้งานอยู่ควรนำมาวิเคราะห์ว่าถูกแฮกไปหรือยัง และควรยกเลิกรหัสผ่าน หรือกุญแจทั้งหมดที่อยู่ในอุปกรณ์เหล่านี้
ที่มา - Google Cloud Blog
lew Sat, 19/07/2025 - 11:55
Continue reading...
Body
Google Threat Intelligence Group (GTIG) รายงานถึงกลุ่มแฮกเกอร์ UNC6148 ที่กำลังไล่แฮกไฟร์วอลล์ SonicWall Secure Mobile Access (SMA) 100 ที่หมดอายุซัพพอร์ตไปแล้ว แม้ว่าภายหลัง SonicWall จะออกแพตช์อุดช่องโหว่ให้ แต่ก็มีบางองค์กรติดตั้งแพตช์โดยไม่เปลี่ยนรหัสผ่าน ทำให้แฮกเกอร์เข้าถึงระบบได้อยู่ดี
SMA-100 ถูกแฮกตั้งแต่ช่วงปี 2023-2024 โดยตัวสินค้านั้นหมดอายุซัพพอร์ตไปตั้งแต่ปี 2017
ในช่วงเดือนมิถุนายนที่ผ่านมา Mandiant พบร่องรอยการแฮก SMA-100 ผ่านทาง SSL VPN แล้ววาง reverse shell ไว้ในเครื่อง สุดท้ายก็จะวางมัลแวร์ OVERSTEP ทิ้งไว้ให้เรียกใช้งานในอนาคต โดยวางเป็น shared object อยู่ใน
/etc/ld.so.preload เพื่อให้ถูกเรียกเสมอทาง GTIC แนะนำว่าองค์กรที่ยังมี SMA-100 ใช้งานอยู่ควรนำมาวิเคราะห์ว่าถูกแฮกไปหรือยัง และควรยกเลิกรหัสผ่าน หรือกุญแจทั้งหมดที่อยู่ในอุปกรณ์เหล่านี้
ที่มา - Google Cloud Blog
lew Sat, 19/07/2025 - 11:55
Continue reading...