• 發布單位:TWCERT/CC
• 更新日期:2025-08-20
• 點閱次數:14390

Google威脅情報小組（GTIG）揭露一個被名為「UNC6148」的駭客組織。對SonicWall網路安全設備（SMA100系列）展開攻擊。即使設備已經安裝官方的更新修補，駭客仍能利用先前竊取的管理憑證和一次性密碼（OTP）重新取得權限，顯示這次攻擊具針對性與隱蔽性。

資安公司Mandiant調查發現，駭客組織已掌握目標設備的本地管理員憑證，然而，這些憑證取得方式仍未知。根據SonicWall公布的韌體修補時間表與針對漏洞的公開報告，GTIG推測駭客組織可能利用漏洞在目標設備更新前竊取管理員憑證。

來自SonicWall和資安業界的報告指出，UNC6148可能利用以下幾項漏洞：

• CVE-2021-20038 (CVSS:9.8)為堆疊緩衝區溢位漏洞，允許未經身分驗證的遠端攻擊者執行程式碼。
• CVE-2024-38475 (CVSS:9.1)是Apache HTTP Server 存在未經驗證的路徑遍歷漏洞，影響SAM 100系列設備。watchTowr曾揭露該漏洞與CVE-2023-44221可組合成攻擊鏈。目前尚未有證據表明UNC6148使用此漏洞鏈。
• CVE-2021-20035 (CVSS:6.5)和CVE-2021-20039 (CVSS:8.8)皆為命令注入漏洞，允許經過身分驗證的遠端攻擊者注入任意命令。
• CVE-2025-32819 (CVSS:8.8)允許具有SSLVPN使用者權限的遠端攻擊者，繞過路徑遍歷保護機制，刪除任意系統檔案。

一旦駭客組織入侵 SonicWall SMA100系列設備，就會植入一個名為「OVERSTEP」的惡意程式。這是一種專為SonicWall SMA100系列設備設計的C語言後門程式，能在設備重新開機後持續運作，並可與駭客伺服器建立反向連線（反向 shell），竊取企業內部帳號、密碼與憑證等敏感資料，甚至進一步發動勒索攻擊。為了躲避偵測，OVERSTEP還會偽裝成系統檔案、刪除系統日誌與攻擊紀錄，使資安人員難以追蹤其入侵行為。

目前已知的受害企業及組織範圍廣泛，包括中小企業、政府機關、醫療機構等。GTIG 發現，有些企業在被駭後，其機密資料甚至被公開在「World Leaks」網站。此外，該駭客組織與部署Abyss勒索病毒有關聯，說明攻擊目的不只是竊取資料，還可能發展成勒索行動。

這次的攻擊活動不像一般駭客入侵，是一場精心策劃且持續滲透的高階攻擊。即使設備已更新，駭客仍能利用過去竊取的憑證和密碼重新入侵。一旦被攻擊，整個組織和合作夥伴都可能受到影響。GTIG 建議：

• 立即檢查是否使用 SonicWall SMA 100 系列設備
• 重新設定所有密碼與一次性密碼（OTP）
• 更換裝置上的所有憑證與私鑰
• 檢查系統日誌是否有異常或可疑程式執行
• 必要時尋求SonicWall或資安公司協助，執行數位鑑識分析