Akira加强对SonicWall防火墙的攻击，暗示存在零日漏洞

该组织在7月下旬使用供应商SSL VPN设备进行初始入侵的勒索软件活动激增，显示出正在利用一个尚未披露的漏洞的证据。

来源：Michael Vi via Alamy Stock Photo

研究人员发现，Akira勒索软件在入侵活动激增中瞄准了SonicWall防火墙设备中可能存在的零日漏洞，这是近几个月来针对该网络供应商设备的一系列增加攻击中的最新一起。

Arctic Wolf的研究人员观察到，自7月15日起，该威胁组织针对SonicWall SSL VPN进行初始访问的活动有所增加，尽管他们自"至少2024年10月以来就在某种程度上识别出类似的恶意VPN登录"，SonicWall的高级威胁情报研究员Julian Tuin在8月1日的博客文章中写道。

“在审查的入侵中，短时间内观察到多起勒索软件前入侵，每起都涉及通过SonicWall SSL VPN进行的VPN访问，“他写道。具体来说，研究人员观察到初始SSL VPN账户访问与勒索软件加密之间的间隔很短，这与Arctic Wolf之前观察到的Akira针对SonicWall设备的活动类似。

虽然研究人员未排除暴力破解、字典攻击或凭据填充作为入侵方法，但证据表明攻击者正在使用一个尚未披露的零日漏洞。这是因为在某些情况下，“完全修补的SonicWall设备在凭据轮换后仍受到影响”，并且尽管启用了基于时间的一次性密码多因素认证（TOTP MFA），一些账户仍然被入侵，Tuin写道。

相关：DragonForce勒索卡特尔从竞争对手的消亡中获利

SonicWall今天无法立即联系到置评，但到目前为止，它尚未发布有关正在积极利用的新发现漏洞的详细信息。

SonicWall持续遭受攻击

SonicWall路由器、VPN和其他网络安全技术已成为众多威胁行为者的热门目标，因为它们可以通过入侵这些设备获得特权，近几个月来利用它们的活动激增。

事实上，就在上周，网络安全和基础设施安全局（CISA）将两个较旧的SonicWall漏洞CVE-2023-44221和CVE-2024-38475添加到其已知被利用漏洞（KEV）目录中。这些漏洞影响一系列安全远程访问产品，可被远程利用以注入操作系统命令并将URL映射到文件系统位置。

在此之前，研究人员在7月中旬观察到一个与Abyss勒索软件团伙有关的威胁行为者利用零日漏洞，通过使用被盗的本地管理员凭据和先前入侵中的一次性密码种子，在完全修补的已终止支持的SonicWall安全移动访问（SMA）100系列设备上植入一个新的隐蔽后门。而在5月，SonicWall修复了影响其统一安全访问网关设备的三个高危漏洞，其中一个已在野外被利用。

相关：俄罗斯的秘密Blizzard APT通过ISP获得大使馆访问权限

Akira于2023年4月出现，并迅速在勒索软件排名中上升，有利用SonicWall漏洞进行初始访问的历史。去年9月，研究人员观察到该组织的勒索软件附属机构利用了一个关键远程代码执行（RCE）漏洞，SonicWall大约一年前披露并随后在其第5代、第6代和一些第7代防火墙产品中修补了该漏洞。

立即采取缓解措施

由于被Akira攻击的可疑漏洞尚未确定，因此尚未修补，Arctic Wolf Labs建议防御者立即采取缓解措施以避免入侵。行动包括禁用SonicWall SSL VPN服务，直到提供并部署补丁，Tuin写道。

研究人员还建议组织实施SonicWall的最佳实践以加强防火墙安全，包括确保僵尸网络保护等服务处于活动状态以帮助检测已知针对SSL VPN端点的威胁行为者，并对所有远程访问强制执行MFA以降低凭据滥用的风险。

相关：韩国人被250多个虚假移动应用程序黑客攻击和勒索

SonicWall的建议还包括删除任何不活动或未使用的本地防火墙用户账户——特别是那些具有SSL VPN访问权限的账户——并实践强密码卫生，以及通过阻止相应的CIDR（无类别域间路由）范围来阻止来自托管相关ASN的VPN认证。

关于作者

Elizabeth Montalbano，特约撰稿人
Elizabeth Montalbano是一名自由撰稿人、记者和治疗写作导师，拥有超过25年的专业经验。她的专业领域包括技术、商业和文化。Elizabeth之前曾在凤凰城、旧金山和纽约市担任全职记者；她目前居住在葡萄牙西南海岸的一个村庄。在空闲时间，她喜欢冲浪、与她的狗一起徒步旅行、旅行、演奏音乐、瑜伽和烹饪。

查看更多来自Elizabeth Montalbano，特约撰稿人的内容

随时了解最新的网络安全威胁、新发现的漏洞、数据泄露信息和新兴趋势。每日或每周直接发送到您的电子邮件收件箱。

订阅

更多见解

网络研讨会
创建更有效安全合作伙伴关系的路线图
2025年8月13日
更多网络研讨会

活动
[虚拟活动] 现代企业的战略安全
2025年6月25日
[虚拟活动] 数据泄露剖析
2025年6月17日
[会议] Black Hat USA - 8月2-7日 - 了解更多
2025年8月1日
更多活动

您可能还喜欢
威胁情报：中国APT利用EDR"可见性差距"进行网络间谍活动
威胁情报：隐蔽的Linux"自动颜色"后门侵扰美国机构
威胁情报：“伏地魔"恶意软件利用全球税务机构诅咒组织
威胁情报：攻击者利用关键Atlassian Confluence漏洞进行加密劫持

特色
查看Black Hat USA会议指南，获取更多来自和关于该展会的报道和情报。

编辑选择
Dark Reading Confidential标志黑白
网络安全运营
Dark Reading Confidential：资助未来的CVE计划
Dark Reading Confidential：资助未来的CVE计划
由Dark Reading Staff
2025年7月30日
描绘中国龙的艺术
威胁情报
DragonForce勒索卡特尔从竞争对手的消亡中获利
DragonForce勒索卡特尔从竞争对手的消亡中获利
由Alexander Culafi
2025年7月30日
4分钟阅读
现代概念艺术海报与古代维纳斯半身像
应用安全
对Vibe编码进行网络安全氛围检查
对Vibe编码进行网络安全氛围检查
由Alexander Culafi
2025年7月30日
5分钟阅读

网络研讨会
创建更有效安全合作伙伴关系的路线图
2025年8月13日
更多网络研讨会

白皮书
量化感知安全与全面MITRE ATT&CK覆盖之间的差距
2022年保险行业网络威胁格局报告
保护关键基础设施：2021年能源、公用事业和工业网络威胁格局报告
2021年银行和金融服务行业网络威胁格局报告
XDR在现代SOC中的影响
更多白皮书

活动
[虚拟活动] 现代企业的战略安全
2025年6月25日
[虚拟活动] 数据泄露剖析
2025年6月17日
[会议] Black Hat USA - 8月2-7日 - 了解更多
2025年8月1日
更多活动

Black Hat USA
2025年8月2日 - 8月7日
2025年8月2日 - 8月7日
准备好提升您的网络安全知识了吗？加入我们参加行业顶级网络安全活动，各级专业人士和黑客齐聚一堂，学习信息安全的最新风险、研究和趋势。Black Hat USA汇聚了来自全球的顶级网络安全专家，在一个欢迎的、供应商中立的环境中展示他们的尖端工作和发现。不要错过这个必参加的活动！

了解更多

发现更多
Black Hat
Omdia
与我们合作
关于我们
广告
重印
加入我们
新闻通讯注册
关注我们

版权所有 © 2025 TechTarget, Inc. d/b/a Informa TechTarget。本网站由Informa TechTarget拥有和运营，它是全球网络的一部分，该网络 informs, influences and connects 全球技术买家和卖家。所有版权归他们所有。Informa PLC的注册办公室是5 Howick Place, London SW1P 1WG。在英格兰和威尔士注册。TechTarget, Inc.的注册办公室是275 Grove St. Newton, MA 02466。

首页|Cookie政策|隐私|使用条款

Cookie政策
当您访问任何网站时，它可能会在您的浏览器上存储或检索信息，主要以cookie的形式。这些信息可能关于您、您的偏好或您的设备，主要用于使网站按您期望的方式工作。这些信息通常不会直接识别您，但可以为您提供更个性化的网络体验。因为我们尊重您的隐私权，您可以选择不允许某些类型的cookie。单击不同的类别标题以了解更多信息并更改我们的默认设置。但是，阻止某些类型的cookie可能会影响您对网站的体验和我们能够提供的服务。

更多信息
允许所有管理同意偏好

严格必要的Cookie
始终活动
这些cookie对于网站功能是必需的，无法在我们的系统中关闭。它们通常仅在您采取相当于请求服务的行动时设置，例如设置您的隐私偏好、登录或填写表格。
您可以将浏览器设置为阻止或提醒您这些cookie，但网站的某些部分将无法工作。这些cookie不存储任何个人身份信息。

性能Cookie
始终活动
这些cookie允许我们计算访问量和流量来源，以便我们可以衡量和改进我们网站的性能。它们帮助我们了解哪些页面最受欢迎和最不受欢迎，并查看访问者如何在网站上移动。
这些cookie收集的所有信息都是汇总的，因此是匿名的。如果您不允许这些cookie，我们将不知道您何时访问了我们的网站，并且无法监控其性能。

功能Cookie
始终活动
这些cookie使网站能够提供增强的功能和个性化。它们可能由我们或我们添加到页面中的第三方提供商设置。
如果您不允许这些cookie，那么这些服务中的部分或全部可能无法正常工作。

定向Cookie
始终活动
这些cookie可能由我们的广告合作伙伴通过我们的网站设置。它们可能被这些公司用于建立您的兴趣档案并在其他网站上向您显示相关广告。
它们不直接存储个人信息，而是基于唯一标识您的浏览器和互联网设备。如果您不允许这些cookie，您将体验到较少的定向广告。

返回按钮
Cookie列表搜索图标筛选图标清除复选框标签标签应用取消同意合法利益复选框标签标签复选框标签标签复选框标签标签确认我的选择