網路資安公司Rapid7最新報告指出,過去一個月內觀察到針對SonicWall設備的入侵活動大幅增加,特別是在7月底Akira勒索軟體活動再次活躍的報告出現後。這波攻擊主要利用
CVE-2024-40766漏洞(CVSS評分9.3),該漏洞於2024年8月已釋出修補程式,但仍有許多組織未完整修復。
攻擊手法分析
SonicWall表示,這波SSL VPN攻擊活動涉及一個年前的安全漏洞,主要問題出現在從Gen 6升級到Gen 7防火牆時,本地端使用者密碼未按建議重設。「我們觀察到威脅行為者試圖暴力破解使用者憑證的活動增加」,SonicWall建議客戶啟用殭屍網路過濾功能以封鎖已知威脅行為者,並確保帳戶鎖定政策已啟用。
相關文章:美國CISA警告 SonicWall 漏洞遭利用,勒索軟體集團恐涉入
Rapid7的事件回應團隊發現,Akira集團可能同時利用三個安全風險:
1. CVE-2024-40766漏洞
這個關鍵漏洞允許未授權存取資源並可能導致防火牆當機。儘管SonicWall已在去年8月釋出修補程式,但許多組織在升級時未遵循重設本地帳戶密碼的建議。
2. SSLVPN預設使用者群組誤配置
這項設定會自動將所有成功驗證的LDAP使用者加入預定義的本地群組,無論其在Active Directory中的實際成員身分。如果預設群組擁有敏感服務的存取權限,任何遭入侵的AD帳戶都會立即繼承這些權限,有效繞過預期的AD群組式存取控制。
3. Virtual Office Portal存取
攻擊者利用SonicWall設備託管的Virtual Office Portal,在特定預設配置下可提供公開存取,讓攻擊者能夠為有效帳戶配置多因子驗證(MFA)或基於時間的一次性密碼(TOTP)。
Akira鎖定製造業和運輸業
澳洲網路安全中心(ACSC)也確認,Akira勒索軟體集團透過這些設備攻擊易受攻擊的澳洲組織。根據Ransomware.Live的資訊,自2023年3月首次出現以來,Akira已聲稱有967名受害者。CYFIRMA統計顯示,Akira在2025年7月發動40次攻擊,成為繼Qilin和INC Ransom之後第三活躍的勒索軟體集團。
在2025年第二季影響全球工業實體的657起勒索軟體攻擊中,Qilin、Akira和Play勒索軟體家族分別以101、79和75起事件佔據前三名。工業網路安全公司Dragos表示,Akira透過複雜的釣魚和多平台勒索軟體部署,持續鎖定製造業和運輸業。
最新攻擊技術深度解析
SEO中毒攻擊鏈:
近期的Akira勒索軟體感染展現出更加複雜的攻擊手法。攻擊者利用搜尋引擎優化中毒技術,透過操控搜尋結果來傳播惡意軟體。攻擊者會建立看似合法的網站,並針對熱門IT管理工具的相關關鍵字進行SEO優化,使這些惡意網站在搜尋結果中排名靠前。當用戶搜尋並下載這些看似正常的IT管理工具時,實際上會下載到惡意安裝程式,這些程式被用來投放Bumblebee惡意軟體載入器。
AdaptixC2框架運用:
攻擊者利用Bumblebee作為初始載入器,進一步部署AdaptixC2後滲透和對抗模擬框架。根據Palo Alto Networks Unit 42的分析,AdaptixC2具有模組化設計特點,允許威脅行為者執行命令、傳輸檔案和進行資料竊取。由於其開源特性,攻擊者可以根據需求自定義功能,並在受感染系統上執行多種惡意活動。
社交工程攻擊手法:
除了技術性攻擊,Akira集團也採用社交工程技術。攻擊者會冒充IT服務台人員透過Microsoft Teams進行通話,誘騙使用者透過Quick Assist授予遠端存取權限,接著投放PowerShell腳本,解密並載入記憶體中的shellcode載荷。
Rapid7詳細說明了Akira勒索軟體集團的標準攻擊流程。攻擊者首先透過SSLVPN元件取得初始存取權,接著提升至高權限帳戶或服務帳戶。然後定位並竊取網路共享或檔案伺服器中的敏感檔案,刪除或停止備份系統,最終在虛擬化層級部署勒索軟體加密。
Akira還會安裝RustDesk遠端桌面軟體,確保即使在主要攻擊路徑被發現後,仍能維持對受害網路的持續存取能力。這種多層次持續性機制使得完全清除攻擊者的存在變得更加困難。
防護建議
針對這波攻擊,資安專家建議組織採取全面的防護措施。組織應立即輪換所有SonicWall本地帳戶密碼,並移除未使用或非活躍的SonicWall本地帳戶。同時必須配置MFA/TOTP政策,並將Virtual Office Portal存取限制在內部網路。
在配置檢查方面,組織需要將預設LDAP使用者群組設定為「無」,確保Virtual Office Portal僅能從受信任網路存取,並持續監控Virtual Office Portal的存取活動。所有SonicWall設備都必須運行最新修補程式,並更新至韌體版本7.3.0或更新版本,新版本包含增強的暴力攻擊防護和額外的MFA控制功能。
此外,組織還應加強員工對社交工程攻擊的認知訓練,監控並限制遠端桌面軟體的使用,定期檢查網路中是否存在未授權的遠端存取工具,並建立完善的備份策略,確保備份系統的安全性。
SonicWall強調,最近釋出的SonicOS 7.3.0版本也包含針對暴力攻擊的增強防護和額外的MFA控制功能,建議用戶儘快更新以確保最佳安全防護。面對Akira勒索軟體集團持續演進的攻擊手法,組織必須採取主動防禦策略,並保持警覺以應對不斷變化的威脅態勢。