2023年10月的报道指出,一项与中国有关的恶意软件攻击活动,利用未修补的 SonicWall Secure Mobile Access (SMA) 100 系列设备进行长期持续的入侵。这种恶意软件不仅能够窃取用户的凭据,还能提供 shell 访问权限,并能够在系统固件升级后依然存在。
风驰mobile加速器在星期三的一篇博客文章中,Mandiant 表示,他们在与 SonicWall 产品安全和事件响应团队合作时发现了这一攻击活动。他们将该威胁行为者标识为 UNC4540。
尽管马迪安特表示无法确定感染的起源,但该恶意软件或其前身在 2021 年可能就已被部署。从他们的分析来看,攻击者通过多次固件更新仍然保持着访问权限。
SonicWall SMA100 系列为一种流行的边缘网络访问控制系统,可以作为独立硬件设备、虚拟机或托管云实例实施。在疫情期间,由于组织转向居家办公模式并迁移到云端,这些设备得到了广泛部署。
MandiantSonicWall 的博客还指出,这次攻击与近年来其他中国网络攻击活动一致,目标都是面向互联网的网络设备参见 Mandiant 博客。近年来,中国攻击者利用多个零日漏洞来获取全面的企业侵入,研究人员预计这种趋势在短期内还将继续。
为了降低被攻击的风险,Mandiant 和 SonicWall 建议安全团队维持适当的补丁管理。虽然这并不是针对漏洞的补丁,但 SonicWall 鼓励 SMA100 系列用户升级到 10217 或更高版本以增强安全性。有关补丁的具体信息,可以参考 SonicWall 博客 和补丁链接。
经过 Mandiant 和 SonicWall 对被攻陷设备的分析,发现了一系列文件,这些文件使攻击者能够高度特权并随时访问设备。该恶意软件由一系列 bash 脚本和一个被识别为 TinyShell 变种的 ELF 二进制文件组成。研究人员报告称,这一系列恶意 bash 脚本的整体行为显示了对设备的深入理解,并针对系统进行了精心设计,以提供稳定性和持久性。
转变安全策略的关键:向上移动关键要点“向左转变”用于软件开发中的质量控制,但网络安全亟需“向上转变”。随着网络攻击事件频发的现状,仅靠传统的安全措施已远远不够。为了减少风险,企业应综合安全工具,实现团队之间的紧密协作。利用数据湖和统一平台实现安全数据的整合与分析,提升响应速度。近年来,企业一直在推广...
谷歌支付近4000万美元以解决隐私追踪指控关键要点谷歌同意向华盛顿州支付3990万美元以解决有关其位置追踪做法的指控。华盛顿州总检察长指控谷歌误导消费者,未能有效控制其位置信息数据。这一和解包括实施法院命令的改革,以提高位置追踪设置的透明度。谷歌还需要确保用户能够查看其位置追踪的详细信息,并增强数据...