SonicWall SSL VPN 漏洞正被 Akira 勒索团伙积极利用

HackerNews 编译，转载请注明出处： 与Akira勒索软件团伙有关的威胁行为者一直在针对SonicWall设备以获取初始访问权限。 网络安全公司Rapid7表示，在过去一个月中，观察到涉及SonicWall设备的入侵事件有所增加，特别是在2025年7月下旬有关Akira勒索软件活动重新出现的报道之后。 随后，SonicWall透露，针对其防火墙的SSL VPN活动涉及一个已存在一年的安全漏洞（CVE-2024-40766，CVSS评分：9.3），在迁移过程中，本地用户密码被保留且未被重置。 该公司指出：“我们观察到威胁行为者试图暴力破解用户凭据的活动有所增加。为了降低风险，客户应启用Botnet过滤功能以阻止已知的威胁行为者，并确保已启用账户锁定策略。” SonicWall还敦促用户审查LDAP SSL VPN默认用户组，如果在Akira勒索软件攻击的背景下配置错误，这将是一个“关键弱点”。 此设置会自动将每个成功通过LDAP身份验证的用户添加到预定义的本地组，无论他们是否实际属于Active Directory中的成员。如果该默认组可以访问敏感服务（如SSL VPN、管理界面或不受限制的网络区域），那么任何被入侵的AD账户，即使该账户并无合法理由需要这些服务，也会立即继承这些权限。 这实际上绕过了原本基于AD组的访问控制，一旦攻击者获得有效凭据，就会为他们直接进入网络边界提供一条路径。 Rapid7在其警报中表示，还观察到威胁行为者访问由SonicWall设备托管的虚拟办公门户，在某些默认配置下，这可能会促进公开访问，并使攻击者能够使用有效账户配置mMFA/TOTP，前提是此前存在凭据泄露的情况。 “Akira团伙可能正在利用这三种安全风险的组合来获取未经授权的访问权限并开展勒索软件行动。”该公司表示。 为了降低风险，建议组织机构更换所有SonicWall本地账户的密码，删除任何未使用或不活跃的SonicWall本地账户，确保已配置MFA/TOTP策略，并限制虚拟办公门户对内部网络的访问。 Akira针对SonicWall SSL VPN的目标也得到了澳大利亚网络安全中心（ACSC）的呼应，该中心承认，他们知道勒索软件团伙正通过这些设备攻击澳大利亚的易受攻击组织。 自2023年3月首次亮相以来，Akira一直是勒索软件威胁领域中持续存在的威胁，根据Ransomware.Live的信息，到目前为止，它已经声称有967名受害者。根据CYFIRMA分享的统计数据，在2025年7月，Akira共发动了40次攻击，使其成为继Qilin和INC Ransom之后的第三大活跃团伙。 在2025年第二季度影响全球工业实体的657次勒索软件攻击中，Qilin、Akira和Play勒索软件家族占据了前三名，分别报告了101起、79起和75起事件。 工业网络安全公司Dragos在上个月发布的一份报告中表示，Akira在“针对制造业和运输行业的持续攻击中保持了相当大的活动量，通过复杂的网络钓鱼和多平台勒索软件部署来实现”。 最近的Akira勒索软件感染还利用搜索引擎优化（SEO）中毒技术来分发流行IT管理工具的特洛伊木马化安装程序，这些安装程序随后被用来投放Bumblebee恶意软件加载器。 然后，这些攻击利用Bumblebee作为通道来分发AdaptixC2后利用和对抗性仿真框架、安装RustDesk以实现持久远程访问、窃取数据并部署勒索软件。 根据Palo Alto Networks Unit 42的说法，AdaptixC2的多功能性和模块化特性允许威胁行为者在受感染的系统上执行命令、传输文件并进行数据窃取。由于它也是开源的，这意味着攻击者可以根据自己的需求对其进行定制。 该网络安全公司表示，其他传播AdaptixC2的活动还利用模仿IT帮助台的Microsoft Teams通话来欺骗毫无戒心的用户，通过快速协助授予他们远程访问权限，并投放一个PowerShell脚本，该脚本解密并加载到内存中的shellcode有效载荷。 “Akira勒索软件团伙遵循标准的攻击流程：通过SSLVPN组件获得初始访问权限，提升到具有更高权限的账户或服务账户，从网络共享或文件服务器中定位并窃取敏感文件，删除或停止备份，并在虚拟化层部署勒索软件加密。”Rapid7表示。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文