Régi sebezhetőségből indul a támadás
A kezdetek 2024 júliusára nyúlnak vissza, amikor az Akira első hulláma kihasználta a CVE-2024-40766 jelű hibát a SonicWall VPN-ekben. Ez a hiba a jogosultságkezelés hiányosságai miatt lehetővé tette, hogy illetéktelenek hozzáférést szerezzenek az eszközökön keresztül vállalati hálózatokhoz. Habár a hibát augusztusban javították, a támadók továbbra is képesek voltak a már ellopott felhasználói hitelesítő adatokkal – köztük OTP magokkal – belépni, akár a biztonsági frissítések után is.
Friss támadási hullámok és fejlett módszerek
Az Arctic Wolf biztonsági cég és a Google Threat Intelligence Group is észlelt újabb támadási hullámokat, ahol a támadók sikeresen jutottak be olyan fiókokba, amelyekhez elvileg OTP-alapú többfaktoros azonosítás kellett volna. A sikeres bejelentkezéseket többszöri OTP-kérés előzte meg, ami arra utal, hogy vagy valóban megszerezték a titkos OTP magokat, vagy alternatív módon állítanak elő érvényes jelszavakat. A támadók gyakran kevesebb mint 5 perc alatt feltérképezték a belső hálózatot, majd speciális eszközökkel, például dsquery-vel, SharpShares-szel és BloodHounddal vizsgálták az Active Directory objektumokat.
Különös figyelem jutott a Veeam Backup & Replication szerverekre is, ahol egyedi PowerShell-szkripttel fejtették vissza a tárolt MSSQL-, PostgreSQL-jelszavakat és DPAPI-titkosításokat. A védelem kijátszásához a bűnözők a Microsoft legális consent.exe alkalmazását használták, hogy sérülékeny eszközillesztőket töltsenek be, és így kikapcsolják a védelmet, utat engedve a zsarolóvírusnak.
Mit tehetnek a rendszergazdák?
Összefoglalva megállapítható, hogy a legújabb, 7.3.0-s SonicOS verzió sem jelent teljes biztonságot, ha a készülék korábban sebezhető volt. Az adminisztrátoroknak ezért sürgősen újra kell állítaniuk minden VPN-hozzáférési adatot azoknál az eszközöknél, ahol korábban sérülékeny firmware futott, mert a támadók a korábban begyűjtött felhasználói adatok segítségével könnyen visszaszerezhetik a hozzáférést a céges hálózatokhoz – annak ellenére, hogy a rendszert időközben már frissítették.
