Google发现SonicWall设备遭“Overstep”后门入侵，攻击者可隐藏痕迹

Google威胁情报组（GTIG）披露，未知黑客组织UNC6148正在攻击已停更的SonicWall Secure Mobile Access（SMA）设备，并部署名为“Overstep”的自定义后门程序。该后门具备强大的反取证能力，能选择性删除关键日志，使检测几乎不可能。攻击者利用泄露的本地管理员凭据进行渗透，但具体凭据来源和所利用的漏洞尚不明确。可能涉及的漏洞包括CVE-2021-20038、CVE-2024-38475等多个已知高危安全漏洞。GTIG提醒仍在使用SMA设备的机构尽快进行磁盘镜像取证分析，并建议与SonicWall合作确认是否存在入侵痕迹。目前尚不清楚UNC6148的最终目的，也未查明其如何建立用于执行命令的反向Shell接口。此次事件凸显旧设备更新滞后带来的严重安全隐患。