Akira勒索软件持续利用SonicWall漏洞

安全研究人员警告，Akira勒索软件组织持续利用已修复一年的SonicWall漏洞获取初始访问权限，并依赖预安装的合法工具来规避检测。

在过去三个月中，Akira勒索软件攻击导致CVE-2024-40766（CVSS评分9.3）漏洞利用激增，这是SonicWall防火墙中的一个访问控制不当问题，已于2024年8月修复。

Arctic Wolf在新报告中警告，Akira的活动仍然活跃，勒索软件操作者成功将使用一次性密码（OTP）作为多因素认证（MFA）选项的SSL VPN账户作为目标。

Arctic Wolf表示观察到数十起事件可通过以下特征关联：源自VPS托管提供商的VPN客户端登录、网络扫描、用于端点发现的Impacket SMB活动以及Active Directory发现。

从这些入侵事件收集的痕迹表明，可能涉及多个威胁行为者或附属组织，认证过程使用了自动化工具，且使用现成工具进行发现和横向移动。

网络安全公司还指出，虽然尚不清楚攻击者如何绕过MFA，但SonicWall在8月确认运行SonicOS 7.3之前版本的设备"可能容易受到影响MFA凭据的暴力攻击"。

Arctic Wolf指出：“驻留时间以小时而非天数计算——这是我们记录的勒索软件中最短的之一——应对此威胁的有效响应窗口异常狭窄。通过检测来自少数托管相关ASN的异常登录并识别网络上的Impacket SMB活动，可以在早期阶段中断入侵。”

在Barracuda分析的一次攻击中，观察到Akira附属组织利用各种预安装的合法实用程序，这使得他们能够保持隐蔽。他们还在域控制器上使用了Datto远程监控和管理（RMM）工具。

“他们瞄准了RMM工具的管理控制台，并将其与几个先前安装的备份代理一起使用来实施攻击，而不会触发新软件安装或可疑活动的安全警报，“Barracuda解释道。

攻击者使用Datto执行PowerShell脚本以获得对服务器的完全控制，然后运行其他工具，修改注册表以规避检测并关闭安全功能，并投放各种文件，包括修改防火墙规则的脚本。

“攻击者没有部署会立即引发危险信号的新型复杂恶意软件或工具。相反，他们使用了已经存在的东西——Datto RMM和备份代理。[…]攻击者的活动密切模仿备份代理在计划作业期间可能合法执行的操作。这使得一切看起来都像正常的IT活动，“Barracuda指出。