7月中旬Google威脅情報團隊(GTIG)揭露鎖定SonicWall SSL VPN設備的攻擊行動,駭客企圖部署惡意軟體Overstep,後續駭客組織World Leaks聲稱駭入電腦大廠Dell內部的產品展示及測試的環境,傳出入侵的管道,很可能就是上述的SSL VPN設備。如今資安業者Arctic Wolf指出,勒索軟體Akira也加入攻擊該廠牌的SSL VPN系統的行列。
Arctic Wolf指出,7月下旬駭客透過SonicWall防火牆取得初始入侵管道的勒索軟體活動,出現增加的跡象,這些事故的共通點在於,所有的入侵都是透過防火牆的SSL VPN系統進行存取。根據他們掌握的證據,駭客疑似使用零時差漏洞而得逞,但不排除有暴力破解、字典攻擊、帳號填充攻擊的情況。為何Arctic Wolf會認定是零時差漏洞?他們提及兩種現象,首先,在部分事故當中,受害的SonicWall設備已經完整套用所有修補程式,並進行帳密輪替,但還是無法倖免;部分受害組織雖然採用以時間為基礎的動態密碼(TOTP),進行多因素驗證(MFA),仍發生帳號遭到入侵的現象。對此,他們認為在SonicWall尚未發布修補程式之前,最好暫時停用SSL VPN服務因應。
這波攻擊行動約從7月15日開始,一旦攻擊者成功存取SSL VPN帳號,很快就會執行勒索軟體加密檔案的程序。而駭客登入VPN系統的作法也與一般正常的管道不同,他們多半透過虛疑專用伺服器(VPS)來進行,而非像合法登入會透過網際網路服務供應商(ISP)。
勒索軟體Akira鎖定SonicWall防火牆發動攻擊的情況,已非首例。去年10月,有兩款勒索軟體針對SonicWall防火牆而來,疑似利用該廠牌防火牆作業系統SonicOS重大層級漏洞CVE-2024-40766,其中一組人馬就是Akira。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
