阿基拉勒索软件利用 SonicWall SonicOS 漏洞实施闪电战式入侵

发布时间：2025-12-07 15:03:27 作者：玩站小弟

北极狼安全团队观察到，自2025年7月下旬以来，阿基拉Akira）勒索软件活动显著增加，攻击者正积极针对SonicWall SSL VPN账户展开攻击。截至2025年9月20日，仍能发现与该攻击活动相。

北极狼安全团队观察到，阿基自2025年7月下旬以来，拉勒S漏阿基拉（Akira）勒索软件活动显著增加，索软施闪式入攻击者正积极针对SonicWall SSL VPN账户展开攻击。洞实电战截至2025年9月20日，阿基仍能发现与该攻击活动相关的拉勒S漏新基础设施。

绕过多重认证的索软施闪式入凭证窃取

阿基拉组织正在利用窃取的凭证实施攻击，香港云服务器甚至在已启用多重认证（MFA）的洞实电战环境中也不例外。报告指出："威胁行为者很可能通过此前利用（CVE-2024-40766）漏洞窃取的阿基凭证访问SSL VPN账户，包括已启用OTP MFA的拉勒S漏账户。"

这反映出阿基拉长期专注于VPN攻击的索软施闪式入特点。该组织过去的源码库洞实电战攻击活动曾利用思科ASA的（CVE-2023-20269）和思科AnyConnect的（CVE-2020-3259）等漏洞。

惊人的阿基短驻留时间

最令人担忧的是攻击者极短的驻留时间。北极狼警告称："在最近的亿华云拉勒S漏数十起入侵事件中，攻击者从凭证访问到横向移动、索软施闪式入数据窃取和加密的全过程不到四小时，有些甚至快至55分钟。"这种加速的时间线使得防御者在勒索软件引爆前几乎没有时间进行检测和响应。

不断变换的基础设施

为逃避检测，服务器租用该组织持续变换其基础设施。"威胁行为者正在轮换基于VPS的客户端基础设施，试图规避检测。"防御者可通过监控来自VPS托管服务提供商（而非传统宽带或企业网络）的登录行为来发现异常。

跨行业的广泛攻击

受害者涵盖多个行业和组织规模，表明这是云计算机会主义的大规模攻击而非针对性入侵。

SonicWall已确认攻击与（CVE-2024-40766）漏洞利用有关，并警告即使已打补丁的设备，若更新前凭证已被窃取，仍可能面临风险。该公司建议：

重置防火墙上存储的所有凭证，源码下载包括SSL VPN密码和OTP MFA密钥升级至SonicOS 7.3.0版本，该版本引入了暴力破解防护和MFA强化功能删除未使用的账户，并对所有远程访问强制执行MFA启用僵尸网络防护和其他安全服务

Tag：

基础设施即代码 (IaC) 在保护云环境时的重要性
根据2023 年泰雷兹数据威胁报告，55% 遭遇数据泄露的组织将“人为错误”报告为主要原因。由于组织现在面临着日益复杂的网络犯罪分子使用各种自动化工具的攻击，这进一步加剧了这种情况。随着组织将更多的业
2025-12-07
数据中心可持续发展：清洁能源并不完美但值得尝试
能够仅仅使用清洁能源就可以为数据中心供电，这听起来像是一个梦——遗憾的是，在大多数情况下都是如此。尽管现在有很多数据中心的大部分能源都是来自太阳能、风能和其他低碳可再生能源的，但大多数数据中心都无法仅
2025-12-07
数据中心无法实现自动化的五件事
人们很容易认为，在数据中心及其他领域，自动化是没有界限的。在人工智能似乎为改进数据中心运营和网络提供了无限机会的世界中，IT行业作为一个整体已经接受了工作流可以变得如此完全自动化的概念，我们达到了No
2025-12-07
推动下一代数据中心向400G和800G迈进
在大数据、云计算和物联网(IoT)时代，对更快、更高效的数据中心的需求不断增长。数据中心需要支持更高的网络速度和带宽，以处理大量数据流入和处理。因此，向400G以太网(400
2025-12-07
ChromeLoader 正在通过破解游戏进行传播
因为微软默认禁用了互联网下载文件的宏代码，攻击者在恶意软件分发中开始越来越多地使用磁盘镜像文件如 ISO 和 VHD）。近期，研究人员发现攻击者在利用 VHD 文件分发 ChromeLoader。从文
2025-12-07
为什么数据中心基础设施管理是关键
数据中心基础设施管理DCIM）的兴起证明了数据中心运营的复杂性和重要性日益增加。在现代数字环境中，数据中心变得越来越复杂和关键，DCIM提供了一个集中式平台来监控和管理复杂的基础设施。同时，随着可持续
2025-12-07