ChatGPT 说:SonicWall 确认黑客访问了所有防火墙备份文件|间谍软件伪装 WhatsApp 与 TikTok
关键词
数据泄露
2025年9月,SonicWall 曾报告其云备份服务出现数据泄露,当时称受影响客户不到5%,并表示问题已被控制,正在调查。然而,近日 SonicWall 与应急响应公司 Mandiant 联合确认,攻击者实际上已访问了使用该云备份服务的 所有客户 的防火墙配置备份文件。
此次事件起因于黑客对 MySonicWall 云备份 API 进行暴力破解攻击。该 API 存储了加密的防火墙配置文件,内容包括网络规则、凭证以及路由信息,用于防火墙恢复或复制。虽然密码和密钥仍然加密,但攻击者现在掌握了完整的配置数据,这可能被用于绘制网络拓扑或发起针对性攻击。
SonicWall 表示:“调查确认,未经授权的第三方访问了所有使用云备份服务客户的防火墙配置备份文件。文件包含加密凭证和配置数据;尽管加密仍然有效,但文件被掌握后可能增加针对客户的定向攻击风险。”
公司在最终调查报告中指出,客户现在可通过 MySonicWall 门户查看受影响设备列表,设备将被标记为“Active – High Priority”、“Active – Lower Priority”或“Inactive”,以便根据暴露风险确定优先处理顺序。
为应对此次大规模泄露,SonicWall 已加强云基础设施、增加监控工具,并发布了详细的修复指南。客户被建议优先审查面向互联网的高优先级设备,利用提供的支持工具确定需立即检查的配置文件。SonicWall 还将继续与 Mandiant 合作,强化系统安全并协助受影响客户。
安全专家指出,此次泄露风险极高,因为涉及的数据包括防火墙规则和加密凭证。watchTowr 的威胁情报负责人 Ryan Dewhurst 表示:“即使密码被加密,如果强度不足,仍可能被离线破解。即便不破解,配置数据本身也能让攻击者获得足够信息,策划更精确的攻击。”他还质疑:“如此敏感的数据托管服务竟缺乏基本防护措施。API 暴力破解本应通过速率限制和更强访问控制来阻止。”
此次事件被认为是 SonicWall 有史以来最严重的安全事故之一,凸显云安全防护与敏感数据管理的重要性。
关键词
恶意软件
近期,一种名为 ClayRat 的快速演变 Android 间谍软件正针对俄罗斯用户展开攻击。研究发现,攻击者通过伪装成 WhatsApp、Google Photos、TikTok、YouTube 等热门应用的钓鱼网站与 Telegram 频道,诱导用户下载安装受感染的 APK 文件。
据移动安全公司 Zimperium 研究员 Vishnu Pratapagiri 披露,该间谍软件一旦激活,可窃取 短信、通话记录、通知内容与设备信息,甚至能远程 启用前置摄像头拍照、发送短信或拨打电话。同时,它还具备 自我传播能力,会自动向受害者通讯录中的所有联系人发送带毒链接,以扩大感染范围。
Zimperium 表示,过去 90 天内已检测到 超过 600 个样本和 50 个投递器(dropper),每个版本都在不断强化混淆技术,以逃避防御系统检测。ClayRat 之名来自其命令与控制(C2)面板,该面板可远程操控受感染设备。
攻击链通常包括:
部分假网站还声称提供“YouTube Plus”等“高级功能”,并分发能绕过 Android 13 安全限制的安装包。某些版本的 ClayRat 甚至作为“假应用更新程序”运行,在表面显示更新进度时,后台解密并安装真实恶意载荷,从而在用户无察觉的情况下完成感染。
感染后,ClayRat 会请求成为默认短信应用,以便访问消息内容;并利用标准 HTTP 协议与 C2 服务器通信。它还能 获取设备信息、调用摄像头拍照、收集已安装应用列表、发起通话或窃取短信内容。
Zimperium 指出,ClayRat 的危险性不仅在于其监控能力,还在于它能将被感染设备变成新的传播节点,形成自动化扩散链条,使攻击者无需人工介入即可迅速扩大影响范围。
谷歌发言人回应称,Play Protect 已可自动阻止已知的 ClayRat 版本,并提醒用户仅通过官方 Google Play 商店 下载应用,避免侧载可疑 APK。
此外,来自卢森堡大学与塞内加尔谢赫·安塔·迪奥普大学的研究人员在一项相关研究中指出,非洲部分低价 Android 手机的预装应用存在严重风险。这些应用具有高权限操作能力,部分甚至会 传输设备标识符与位置信息至外部服务器。研究分析了 7 款非洲市场智能机的 1,544 个 APK 文件,结果发现 9% 泄露敏感数据、16% 缺乏安全防护、部分具备静默安装与短信操作能力。
文章来源:安全圈
官方 