Эксперты Arctic Wolf предупреждают, что атаки вымогателя Akira на устройства SonicWall SSL VPN продолжают эволюционировать.
Хакеры успешно входят в аккаунты даже при включенной многофакторной аутентификации (МФА) с одноразовыми паролями (OTP). Предполагается, что атаки могут происходить за счет ранее украденных seed-ключей OTP, хотя точный метод пока не подтвержден.
Напомним, что прошлым летом специалисты компании Arctic Wolf , что с 15 июля 2025 года они фиксируют атаки с применением вымогателя Akira, и предположили, что преступники могут использовать в этой кампании 0-day уязвимость в межсетевых экранах SonicWall 7-го поколения.
Вскоре эти выводы подтвердили специалисты компании Huntress, которые опубликовали собственный отчет, содержащий индикаторы компрометации, собранные в ходе изучения этой кампании.
Как вскоре после этого представители SonicWall, операторы Akira эксплуатировали старую уязвимость. То есть пострадали пользователи, которые не следовали рекомендациям производителя для защиты от уязвимости CVE-2024-40766, связанной с возможностью получения несанкционированного доступа, которая была исправлена еще в августе 2024 года.
Хотя уязвимость была исправлена год назад, атакующие продолжили использовать учетные данные, похищенные с ранее скомпрометированных устройств, даже после установки патчей. После того как атаки связали с кражей учетных данных, SonicWall настоятельно рекомендовала администраторам сменить их, а также установить актуальную версию SonicOS.
Как теперь аналитики Arctic Wolf, кампания против межсетевых экранов SonicWall продолжается. При этом подчеркивается, что атакующие успешно входят в учетные записи даже при включенной многофакторной аутентификации с использованием одноразовых паролей.
Согласно отчету исследователей, при попытках входа выполнялось несколько OTP-проверок, за которыми следовала успешная аутентификация. Это свидетельствует о том, что злоумышленники могли получить доступ к seed-ключам одноразовых паролей или нашли альтернативный способ генерации действительных токенов.
После проникновения в сеть компании хакеры действовали быстро — сканирование начиналось менее чем через 5 минут. Также злоумышленники использовали Impacket SMB-запросы на установку сессий, входили по RDP и выполняли энумерацию объектов Active Directory с помощью утилит dsquery, SharpShares и BloodHound.
Особое внимание атакующие уделяли серверам Veeam Backup & Replication. В этом случае применялся кастомный PowerShell-скрипт для извлечения и расшифровки сохраненных учетных данных MSSQL и PostgreSQL, включая секреты DPAPI.
Для обхода защитного ПО хакеры применяли тактику Bring-Your-Own-Vulnerable-Driver (BYOVD), злоупотребляя легитимным исполняемым файлом Microsoft consent.exe, посредством которого загружались вредоносные DLL и уязвимые драйверы (rwdrv.sys, churchill_driver.sys). Эти драйверы затем использовались для отключения защитных процессов.
В отчете подчеркивается, что некоторые из атак затронули устройства под управлением SonicOS 7.3.0 — рекомендуемой версии, которую SonicWall настоятельно советует установить для снижения риска атак с использованием учетных данных.
В рамках той кампании группировка UNC6148 развернула руткит OVERSTEP на устройствах серии SMA 100, используя, как предполагается, украденные ранее seed-ключи OTP, что позволило хакерам сохранить доступ даже после установки обновлений.
В Google полагали, что злоумышленники использовали seed-ключи, похищенные во время других 0-day атак. Однако в компании не уточнили, какая именно уязвимость (CVE) использовалась злоумышленниками.
Хакеры успешно входят в аккаунты даже при включенной многофакторной аутентификации (МФА) с одноразовыми паролями (OTP). Предполагается, что атаки могут происходить за счет ранее украденных seed-ключей OTP, хотя точный метод пока не подтвержден.
Напомним, что прошлым летом специалисты компании Arctic Wolf , что с 15 июля 2025 года они фиксируют атаки с применением вымогателя Akira, и предположили, что преступники могут использовать в этой кампании 0-day уязвимость в межсетевых экранах SonicWall 7-го поколения.
Вскоре эти выводы подтвердили специалисты компании Huntress, которые опубликовали собственный отчет, содержащий индикаторы компрометации, собранные в ходе изучения этой кампании.
Как вскоре после этого представители SonicWall, операторы Akira эксплуатировали старую уязвимость. То есть пострадали пользователи, которые не следовали рекомендациям производителя для защиты от уязвимости CVE-2024-40766, связанной с возможностью получения несанкционированного доступа, которая была исправлена еще в августе 2024 года.
Хотя уязвимость была исправлена год назад, атакующие продолжили использовать учетные данные, похищенные с ранее скомпрометированных устройств, даже после установки патчей. После того как атаки связали с кражей учетных данных, SonicWall настоятельно рекомендовала администраторам сменить их, а также установить актуальную версию SonicOS.
Как теперь аналитики Arctic Wolf, кампания против межсетевых экранов SonicWall продолжается. При этом подчеркивается, что атакующие успешно входят в учетные записи даже при включенной многофакторной аутентификации с использованием одноразовых паролей.
Согласно отчету исследователей, при попытках входа выполнялось несколько OTP-проверок, за которыми следовала успешная аутентификация. Это свидетельствует о том, что злоумышленники могли получить доступ к seed-ключам одноразовых паролей или нашли альтернативный способ генерации действительных токенов.
После проникновения в сеть компании хакеры действовали быстро — сканирование начиналось менее чем через 5 минут. Также злоумышленники использовали Impacket SMB-запросы на установку сессий, входили по RDP и выполняли энумерацию объектов Active Directory с помощью утилит dsquery, SharpShares и BloodHound.
Особое внимание атакующие уделяли серверам Veeam Backup & Replication. В этом случае применялся кастомный PowerShell-скрипт для извлечения и расшифровки сохраненных учетных данных MSSQL и PostgreSQL, включая секреты DPAPI.
Для обхода защитного ПО хакеры применяли тактику Bring-Your-Own-Vulnerable-Driver (BYOVD), злоупотребляя легитимным исполняемым файлом Microsoft consent.exe, посредством которого загружались вредоносные DLL и уязвимые драйверы (rwdrv.sys, churchill_driver.sys). Эти драйверы затем использовались для отключения защитных процессов.
В отчете подчеркивается, что некоторые из атак затронули устройства под управлением SonicOS 7.3.0 — рекомендуемой версии, которую SonicWall настоятельно советует установить для снижения риска атак с использованием учетных данных.
В рамках той кампании группировка UNC6148 развернула руткит OVERSTEP на устройствах серии SMA 100, используя, как предполагается, украденные ранее seed-ключи OTP, что позволило хакерам сохранить доступ даже после установки обновлений.
В Google полагали, что злоумышленники использовали seed-ключи, похищенные во время других 0-day атак. Однако в компании не уточнили, какая именно уязвимость (CVE) использовалась злоумышленниками.
