Akira勒索軟體攻擊行動突破SonicWall防火牆MFA防護

7月份SonicWall防火牆遭Akira勒索軟體攻擊，安全研究人員近日發現，駭客能突破SonicWall的多因素驗證（Multi-Factor Authentication，MFA）成功感染勒索軟體。

兩個月前安全廠商 Arctic Wolf Labs偵測到一波針對SonicWall SSL VPN裝置的勒索軟體攻擊。駭客先是掃描傳輸埠、以滲透測試工具Impacket利用SMB協定在受害者網路執行指令，在幾分鐘內就在受害者網路上部署勒索軟體。

7月底SonicWall釋出SonicOS 7.3.0，官方建議更新以改善對暴力破解與MFA攻擊的防護，但是後來發現，部署更新版SonicOS（如8.0.2版）的裝置依然受害，顯示這並非單純暴力破解，而可能是受害者先前外流的憑證遭攻擊者利用。根據Arctic Wolf公佈的8月初防火牆日誌範例，顯示有OTP（one-time password）挑戰成功的活動紀錄，且攻擊者在不到一分鐘內即出現成功登入SSL VPN帳號，以及在受害者網路內橫向移動。

在最新研究中，Arctic Wolf發現攻擊者用以攻擊SonicWall SSL VPN的基礎架構更加強化。證據顯示多個VPN帳號可被快速成功登入，且有同一VPN用戶端IP位址用於重覆成功登入，甚至有定期登入活動，這顯示並非典型合法利用帳號，駭客們可能增加了新的基礎架構，使其得以執行scripting自動化驗證過程。

更重要的發現是，Arctic Wolf研究人員相信駭客有能力繞過MFA驗證來部署Akira。分析入侵案例，顯示半數受害者啟用OTP功能但仍然被成功登入。由於研究人員未發現被駭VPN帳號之前有外洩憑證、被駭入，或是OTP解除綁定（unbinding）事件或其他惡意變更配置情形，因此他們判斷，攻擊者已能突破SonicWall帳戶MFA防護。但是研究人員尚無法決定駭客如何成功繞過MFA。

在Google上周公佈另一項分析SonicWall SMA的攻擊研究中，一個編號UNC 6148的駭客組織發動零時差攻擊。歹徒濫用SMA 100系列韌體上的CVE-2025-40599漏洞，植入rootkit程式OVERSTEP。這個user mode程式能刪除log不被偵測而在受害裝置內長期留存，還能建立reverse shell竊取敏感資料，包括管理員憑證、一次性密碼種子（Seed）。SonicWall也發佈更新，提供可移除該rootkit的工具。

兩起攻擊是否相關還有待研究證實。

Arctic Wolf人員建議管理員重設所有先前韌體有漏洞的SonicWall裝置的VPN憑證，因為像rootkit之類的後門程式讓駭客能在更新軟體後持續存取帳號。