勒索软件攻陷启用 MFA 的 SonicWall VPN 账户

针对 SonicWall SSL VPN 设备的 Akira 勒索软件攻击持续演变，研究人员发现，即便账户已启用一次性密码（OTP）多因素认证（MFA），威胁攻击者仍能成功登录。研究人员推测，这可能是通过使用此前窃取的 OTP 种子实现的，但具体方法尚未得到证实。

今年 7 月，BleepingComputer 曾报道，Akira 勒索软件团伙正利用 SonicWall SSL VPN 设备入侵企业网络，研究人员当时怀疑攻击者是通过某零日漏洞攻陷这些设备的。

然而，SonicWall 最终将这些攻击归因于一个名为CVE-2024-40766的 “不当访问控制漏洞”—— 该漏洞已于 2024 年 9 月披露。

尽管该漏洞在 2024 年 8 月已推出补丁，但即便设备安装了安全更新，威胁攻击者仍在使用此前从受攻陷设备中窃取的凭证（账号密码等）发起攻击。

在确认攻击与利用 CVE-2024-40766 窃取的凭证相关后，SonicWall 紧急建议管理员：重置所有 SSL VPN 凭证，并确保设备安装了最新版 SonicOS 固件。

最新研究：MFA 认证被绕过

网络安全公司 Arctic Wolf 最新报告显示，其观测到一场针对 SonicWall 防火墙的持续攻击活动 —— 即便账户启用了 “一次性密码（OTP）多因素认证”，威胁攻击者仍能成功登录。

报告指出，针对同一账户的登录尝试曾触发多次 OTP 验证请求，最终却均成功登录。这表明，攻击者可能还攻陷了 OTP 种子，或找到了生成有效令牌的其他方法。

Arctic Wolf 解释道：“SonicWall 将此次攻击活动中观测到的恶意登录归因于 CVE-2024-40766—— 这是一个一年前就已被识别的不当访问控制漏洞。”

“从这个角度看，攻击者可能从受 CVE-2024-40766 漏洞影响的设备中窃取了凭证，即便这些设备后续安装了补丁，攻击者仍会使用这些凭证。在当前这场攻击活动中，他们成功通过了‘已启用 OTP 多因素认证’的账户验证。”

尽管研究人员尚不清楚 Akira 关联团伙如何绕过 MFA 保护登录账户，但谷歌威胁情报团队（Google Threat Intelligence Group）在今年 7 月发布的一份报告中，曾描述过类似的 SonicWall VPN 滥用行为。

在该起攻击中，一个被标记为UNC6148的牟利型威胁团伙，通过使用 “疑似此前窃取的 OTP 种子”，在 SMA 100 系列设备上部署了 OVERSTEP rootkit（一种深度隐藏的恶意程序），即便设备安装了补丁，攻击者仍能获取访问权限。

谷歌认为，威胁攻击者利用的是 “此前通过零日攻击窃取的一次性密码（OTP）种子”，但暂未确定当时被利用的具体 CVE 漏洞。

谷歌警告称：“谷歌威胁情报团队（GTIG）已发现，一个被我们标记为 UNC6148 的疑似牟利型威胁团伙，正针对‘已安装补丁但已停止支持（end-of-life）’的 SonicWall 安全移动访问（SMA）100 系列设备发起持续攻击。”

“GTIG 高度确信，UNC6148 团伙正利用此前入侵中窃取的凭证和一次性密码（OTP）种子 —— 即便企业已安装安全更新，该团伙仍能重新获取设备访问权限。”

攻击者入侵后的行为

Arctic Wolf 报告显示，Akira 团伙在入侵设备后行动极为迅速，通常会在5 分钟内开始扫描内部网络。研究人员还指出，攻击者还会采取以下行动：

发送 Impacket SMB 会话建立请求（一种用于网络渗透的工具组件）；
尝试远程桌面协议（RDP）登录；
使用 dsquery、SharpShares、BloodHound 等工具枚举 Active Directory（活动目录）对象（即收集企业内部网络的账号、设备、权限等关键信息）。

攻击者特别关注Veeam Backup & Replication 服务器（一款常用的数据备份与恢复软件），会在这类服务器上部署自定义 PowerShell 脚本，提取并解密存储的 MSSQL 和 PostgreSQL 数据库凭证，包括 DPAPI 密钥（Windows 系统用于加密敏感数据的密钥）。

为躲避安全软件检测，该团伙还实施了 “自带易受攻击驱动程序（Bring-Your-Own-Vulnerable-Driver, BYOVD）” 攻击：滥用微软官方的 consent.exe 可执行文件（用于系统权限确认的合法程序），侧载（sideload）恶意动态链接库（DLL），进而加载存在漏洞的驱动程序（如 rwdrv.sys、churchill_driver.sys）。

这些漏洞驱动程序被用于禁用终端防护进程，确保勒索软件加密程序能正常运行而不被拦截。