上週資安業者Arctic Wolf提出警告,他們在7月下旬發現,勒索軟體駭客Akira透過SonicWall防火牆取得初始入侵管道,然後從事勒索軟體活動的情況出現增加的現象,並指出駭客疑似利用零時差漏洞而得逞,然後透過SonicWall SSL VPN存取受害組織,呼籲用戶最好暫時停用SSL VPN功能因應,如今資安業者SonicWall介入調查,指出駭客利用的是去年公布的資安漏洞。
SonicWall發布資安公告指出,根據他們的調查結果,近期鎖定該廠牌SSL VPN系統的活動與CVE-2024-40766高度相關,駭客並非使用新的零時差漏洞。此為存取控制不當漏洞,SonicWall約在一年前公告及修補,影響第5代至第7代的裝置,CVSS風險評為9.3,值得留意的是,此漏洞被公布之前就已被用於實際攻擊。
對於這起攻擊行動的規模,SonicWall指出不到40起,而且許多事故的受害設備存在共通點,那就是曾從第6代防火牆作業系統SonicOS遷移至第7代,但本機用戶密碼並未重置而成為目標。該公司強調,緩解CVE-2024-40766不光只靠套用新版韌體,重設密碼其實是重要步驟。
該公司也呼籲用戶升級至SonicOS 7.3,以取得對於暴力破解與多因素驗證攻擊的額外防護能力,並重設所有本機使用者的密碼,套用最佳實作因應。
針對Arctic Wolf察覺的攻擊行動,後續有資安業者公布新的調查結果。資安業者GuidePoint Security指出,Akira在透過SonicWall設備取得初始入侵管道後,就試圖利用rwdrv.sys、hlpdrv.sys兩個驅動程式進行自動驅動程式(BYOVD)攻擊,從而在迴避防毒軟體與EDR偵測的情況下,進行後續活動。
另一家資安業者Huntress揭露較為詳盡的調查結果,他們指出駭客主要針對有限數量的TZ及NSa系列的防火牆下手,受害防火牆的韌體為7.2.0-7015以前版本,並啟用了SSL VPN服務。
一旦成功入侵受害組織的環境,駭客就會運用防火牆本身取得的特權LDAP或服務帳號,掌握管理者權限,然後透過WMI及PowerShell在網路環境移動,並試圖透過指令碼挖掘Veeam Backup帳密資料,以及使用wbadmin.exe備份NTDS.dit。最終在停用資安防護機制的情況下,於受害組織部署勒索軟體並執行。截至8月6日,他們掌握28起相關事故。
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-12-01
2025-11-30
2025-12-04