在勒索軟體攻擊持續升溫的當下,此篇文章揭露了一起引發高度關注的案例:7 月間 SonicWall 防火牆遭到 Akira 勒索軟體攻擊,而攻擊者甚至能突破多因素驗證(MFA)防護,成功滲透受害組織。這起事件凸顯即便是被視為基礎安全機制的 MFA,也並非牢不可破。
根據 Arctic Wolf Labs 的最新研究,駭客行動最早於兩個月前浮現。他們針對 SonicWall SSL VPN 裝置發動攻擊,首先進行傳輸埠掃描,隨即利用 Impacket 工具套件透過 SMB 協定在受害網路內執行命令,並在數分鐘內部署勒索軟體。7 月底 SonicWall 雖然釋出了 SonicOS 7.3.0,用來強化防暴力破解與 MFA 攻擊的防禦,但後續研究顯示,更新至 8.0.2 的裝置仍遭入侵,顯示問題並非單純的密碼暴力破解,而可能與憑證外洩或 MFA 本身的繞過手法有關。
作者特別指出,Arctic Wolf 分析防火牆日誌後發現,多個 VPN 帳號在極短時間內完成 OTP(一次性密碼)挑戰並成功登入。甚至有同一 IP 位址反覆登入,並出現規律的定期登入行為,顯示駭客可能運用 自動化 scripting 技術來執行大規模驗證繞過。更令人憂慮的是,研究人員確認,約半數受害者即便已啟用 OTP 功能,帳號依然遭到駭入,顯示攻擊者已具備繞過 MFA 的能力,但具體手法仍未明朗。
與此同時,文章也引述 Google 的研究,揭露另一個編號 UNC 6148 的駭客組織,針對 SonicWall SMA 100 系列韌體發動零時差攻擊。他們利用 CVE-2025-40599 漏洞植入名為 OVERSTEP 的 rootkit。這個惡意程式能隱匿自身行跡,刪除系統日誌避免偵測,並建立 reverse shell 竊取敏感資料,例如管理員憑證與一次性密碼種子(Seed),進而長期潛伏於受害裝置中。SonicWall 已經釋出更新,並提供工具來移除這類 rootkit。
目前,兩起攻擊是否屬於同一組織行為,尚待進一步證實。不過,這些案例已清楚揭示:傳統的安全機制不再足以對抗高度組織化、具備技術突破能力的駭客行動。
本文最後提醒,Arctic Wolf 建議管理員務必重新設定所有受漏洞影響的 SonicWall 裝置憑證,因為即便更新韌體,若後門程式(例如 rootkit)仍存在,駭客依舊能持續存取帳號,造成長期威脅。
