เรื่องเล่าจากโลกไซเบอร์: ช่องโหว่เก่าใน SonicWall กลับมาหลอกหลอนองค์กรอีกครั้ง
Google Threat Intelligence Group (GTIG) รายงานว่ากลุ่มแฮกเกอร์ UNC6148 ซึ่งมีแรงจูงใจทางการเงิน ได้ใช้ช่องโหว่ zero-day ในอุปกรณ์ SonicWall SMA 100 series เพื่อฝังมัลแวร์ OVERSTEP ซึ่งเป็น rootkit แบบ user-mode ที่สามารถ:
- แก้ไขกระบวนการบูตของอุปกรณ์
- ขโมยข้อมูล credential และ OTP seed
- ซ่อนตัวเองจากระบบตรวจจับ
แม้อุปกรณ์จะได้รับการแพตช์แล้ว แต่แฮกเกอร์ยังสามารถเข้าถึงได้ผ่าน credential ที่ขโมยไว้ก่อนหน้านี้ ทำให้การอัปเดตไม่สามารถป้องกันการโจมตีได้อย่างสมบูรณ์
หนึ่งในองค์กรที่ถูกโจมตีในเดือนพฤษภาคม 2025 ถูกนำข้อมูลไปเผยแพร่บนเว็บไซต์ World Leaks ในเดือนมิถุนายน และมีความเชื่อมโยงกับการโจมตีที่ใช้ ransomware ชื่อ Abyss ซึ่งเคยเกิดขึ้นในช่วงปลายปี 2023 ถึงต้นปี 2024
กลุ่มแฮกเกอร์ UNC6148 ใช้ช่องโหว่ใน SonicWall SMA 100 series
แม้อุปกรณ์จะได้รับการแพตช์แล้ว แต่ยังถูกเจาะผ่าน credential เดิม
มัลแวร์ OVERSTEP เป็น rootkit แบบ user-mode
แก้ไขกระบวนการบูต ขโมยข้อมูล และซ่อนตัวเองจากระบบ
การโจมตีเริ่มต้นตั้งแต่ตุลาคม 2024 และยังดำเนินต่อเนื่อง
มีเป้าหมายเพื่อขโมยข้อมูลและเรียกค่าไถ่
องค์กรที่ถูกโจมตีถูกนำข้อมูลไปเผยแพร่บนเว็บไซต์ World Leaks
แสดงถึงความรุนแรงของการละเมิดข้อมูล
GTIG เชื่อมโยงการโจมตีกับ ransomware ชื่อ Abyss (VSOCIETY)
เคยใช้โจมตี SonicWall ในช่วงปลายปี 2023
การโจมตีเน้นอุปกรณ์ที่หมดอายุการสนับสนุน (end-of-life)
เช่น SonicWall SMA 100 series ที่ยังมีการใช้งานอยู่ในบางองค์กร
https://www.techradar.com/pro/security/hacker-using-backdoor-to-exploit-sonicwall-secure-mobile-access-to-steal-credentials
Google Threat Intelligence Group (GTIG) รายงานว่ากลุ่มแฮกเกอร์ UNC6148 ซึ่งมีแรงจูงใจทางการเงิน ได้ใช้ช่องโหว่ zero-day ในอุปกรณ์ SonicWall SMA 100 series เพื่อฝังมัลแวร์ OVERSTEP ซึ่งเป็น rootkit แบบ user-mode ที่สามารถ:
- แก้ไขกระบวนการบูตของอุปกรณ์
- ขโมยข้อมูล credential และ OTP seed
- ซ่อนตัวเองจากระบบตรวจจับ
แม้อุปกรณ์จะได้รับการแพตช์แล้ว แต่แฮกเกอร์ยังสามารถเข้าถึงได้ผ่าน credential ที่ขโมยไว้ก่อนหน้านี้ ทำให้การอัปเดตไม่สามารถป้องกันการโจมตีได้อย่างสมบูรณ์
หนึ่งในองค์กรที่ถูกโจมตีในเดือนพฤษภาคม 2025 ถูกนำข้อมูลไปเผยแพร่บนเว็บไซต์ World Leaks ในเดือนมิถุนายน และมีความเชื่อมโยงกับการโจมตีที่ใช้ ransomware ชื่อ Abyss ซึ่งเคยเกิดขึ้นในช่วงปลายปี 2023 ถึงต้นปี 2024
กลุ่มแฮกเกอร์ UNC6148 ใช้ช่องโหว่ใน SonicWall SMA 100 series
แม้อุปกรณ์จะได้รับการแพตช์แล้ว แต่ยังถูกเจาะผ่าน credential เดิม
มัลแวร์ OVERSTEP เป็น rootkit แบบ user-mode
แก้ไขกระบวนการบูต ขโมยข้อมูล และซ่อนตัวเองจากระบบ
การโจมตีเริ่มต้นตั้งแต่ตุลาคม 2024 และยังดำเนินต่อเนื่อง
มีเป้าหมายเพื่อขโมยข้อมูลและเรียกค่าไถ่
องค์กรที่ถูกโจมตีถูกนำข้อมูลไปเผยแพร่บนเว็บไซต์ World Leaks
แสดงถึงความรุนแรงของการละเมิดข้อมูล
GTIG เชื่อมโยงการโจมตีกับ ransomware ชื่อ Abyss (VSOCIETY)
เคยใช้โจมตี SonicWall ในช่วงปลายปี 2023
การโจมตีเน้นอุปกรณ์ที่หมดอายุการสนับสนุน (end-of-life)
เช่น SonicWall SMA 100 series ที่ยังมีการใช้งานอยู่ในบางองค์กร
https://www.techradar.com/pro/security/hacker-using-backdoor-to-exploit-sonicwall-secure-mobile-access-to-steal-credentials
🎙️ เรื่องเล่าจากโลกไซเบอร์: ช่องโหว่เก่าใน SonicWall กลับมาหลอกหลอนองค์กรอีกครั้ง
Google Threat Intelligence Group (GTIG) รายงานว่ากลุ่มแฮกเกอร์ UNC6148 ซึ่งมีแรงจูงใจทางการเงิน ได้ใช้ช่องโหว่ zero-day ในอุปกรณ์ SonicWall SMA 100 series เพื่อฝังมัลแวร์ OVERSTEP ซึ่งเป็น rootkit แบบ user-mode ที่สามารถ:
- แก้ไขกระบวนการบูตของอุปกรณ์
- ขโมยข้อมูล credential และ OTP seed
- ซ่อนตัวเองจากระบบตรวจจับ
แม้อุปกรณ์จะได้รับการแพตช์แล้ว แต่แฮกเกอร์ยังสามารถเข้าถึงได้ผ่าน credential ที่ขโมยไว้ก่อนหน้านี้ ทำให้การอัปเดตไม่สามารถป้องกันการโจมตีได้อย่างสมบูรณ์
หนึ่งในองค์กรที่ถูกโจมตีในเดือนพฤษภาคม 2025 ถูกนำข้อมูลไปเผยแพร่บนเว็บไซต์ World Leaks ในเดือนมิถุนายน และมีความเชื่อมโยงกับการโจมตีที่ใช้ ransomware ชื่อ Abyss ซึ่งเคยเกิดขึ้นในช่วงปลายปี 2023 ถึงต้นปี 2024
✅ กลุ่มแฮกเกอร์ UNC6148 ใช้ช่องโหว่ใน SonicWall SMA 100 series
➡️ แม้อุปกรณ์จะได้รับการแพตช์แล้ว แต่ยังถูกเจาะผ่าน credential เดิม
✅ มัลแวร์ OVERSTEP เป็น rootkit แบบ user-mode
➡️ แก้ไขกระบวนการบูต ขโมยข้อมูล และซ่อนตัวเองจากระบบ
✅ การโจมตีเริ่มต้นตั้งแต่ตุลาคม 2024 และยังดำเนินต่อเนื่อง
➡️ มีเป้าหมายเพื่อขโมยข้อมูลและเรียกค่าไถ่
✅ องค์กรที่ถูกโจมตีถูกนำข้อมูลไปเผยแพร่บนเว็บไซต์ World Leaks
➡️ แสดงถึงความรุนแรงของการละเมิดข้อมูล
✅ GTIG เชื่อมโยงการโจมตีกับ ransomware ชื่อ Abyss (VSOCIETY)
➡️ เคยใช้โจมตี SonicWall ในช่วงปลายปี 2023
✅ การโจมตีเน้นอุปกรณ์ที่หมดอายุการสนับสนุน (end-of-life)
➡️ เช่น SonicWall SMA 100 series ที่ยังมีการใช้งานอยู่ในบางองค์กร
https://www.techradar.com/pro/security/hacker-using-backdoor-to-exploit-sonicwall-secure-mobile-access-to-steal-credentials
0 Comments
0 Shares
49 Views
0 Reviews