Arctic Wolf фиксирует эволюцию кампании вымогателя Akira против SonicWall SSL VPN: злоумышленники успешно проходят аутентификацию даже при включенной многофакторной защите с одноразовыми паролями (OTP). Множественные OTP-проверки, завершающиеся успешным входом, указывают на возможную компрометацию seed-ключей токенов или альтернативный способ генерации валидных кодов.
Контекст атак: от подозрения на 0‑day к злоупотреблению старыми уязвимостями
Прошлым летом Arctic Wolf предупредила о серии вторжений, начавшихся с 15 июля 2025 года, тогда предположительно с использованием 0‑day в межсетевых экранах SonicWall 7‑го поколения. Эти выводы оперативно поддержали специалисты Huntress, опубликовав индикаторы компрометации и рекомендовав временно отключить службы SonicWall SSL VPN.
Позднее SonicWall связала инциденты с CVE‑2024‑40766 (ошибка управления доступом, исправлена в августе 2024 года). По данным производителя, пострадали прежде всего организации, не внедрившие своевременные меры защиты. Даже после установки патчей атакующие продолжали использовать ранее похищенные учетные данные, что вынудило SonicWall призвать к немедленной смене паролей и обновлению до актуального SonicOS.
Как атакуют: быстрое закрепление, AD‑разведка и прицельный удар по бэкапам
В текущей волне вторжений операторы действуют стремительно: сканирование сети начинается менее чем через пять минут после входа. Для перемещения по сети злоумышленники используют Impacket (SMB Session Setup), протокол RDP и проводят энумерацию Active Directory с помощью dsquery, SharpShares и BloodHound.
Отдельное внимание уделяется Veeam Backup & Replication. Исследователи описывают кастомный PowerShell‑скрипт, извлекающий и расшифровывающий сохраненные учетные данные для MSSQL и PostgreSQL, включая секреты DPAPI. Такой фокус на инфраструктуре резервного копирования повышает вероятность успешного шантажа и затрудняет восстановление.
Обход защит: BYOVD и злоупотребление легитимными компонентами
Для подавления средств защиты применяется тактика Bring‑Your‑Own‑Vulnerable‑Driver (BYOVD). Злоумышленники злоупотребляют легитимным исполняемым файлом Microsoft consent.exe для загрузки вредоносных DLL и уязвимых драйверов (rwdrv.sys, churchill_driver.sys), после чего отключают защитные процессы. Некоторые атаки зафиксированы на устройствах под управлением рекомендованной версии SonicOS 7.3.0, что подчеркивает учетно‑данный характер компрометации и потенциальную угрозу при компрометированных факторах МФА.
MFA под прицелом: роль seed‑ключей OTP и аналогичные кейсы
Хотя точный метод обхода МФА не раскрыт, Arctic Wolf допускает утечку seed‑ключей OTP или альтернативную генерацию валидных токенов. Аналогичную тактику описывала и Google Threat Intelligence Group в июле: группировка UNC6148 развернула руткит OVERSTEP на устройствах серии SMA 100, предположительно используя ранее украденные seed‑ключи, что обеспечило доступ даже после обновлений. Тогда конкретная CVE не была названа.
Что это значит для защиты
Если токен МФА сгенерирован из скомпрометированного seed‑ключа, смена пароля не решает проблему. Требуется полная регенерация секретов OTP и повторная привязка факторов для затронутых учетных записей, иначе злоумышленник продолжит синхронно получать валидные коды.
Практические меры снижения риска
Немедленно: обновите SonicOS до последней поддерживаемой версии; принудительно смените пароли администраторов и VPN‑пользователей; сбросьте и перевыпустите OTP‑секреты (re‑enroll МФА). Ограничьте доступ к SSL VPN по географии и спискам доверенных адресов, отключите веб‑администрирование с внешней стороны.
Укрепление аутентификации: там, где возможно, переход на FIDO2/WebAuthn или сертификатную аутентификацию для VPN; включение ограничений по устройству и контексту (conditional access).
Против BYOVD: активируйте Microsoft Vulnerable Driver Blocklist, HVCI/Kernel‑mode Code Integrity, мониторинг аномального запуска consent.exe и блокировку известноплохих драйверов.
Сетевые и резервные копии: сегментируйте Veeam, применяйте выделенные учетные записи и принцип наименьших привилегий, храните бэкапы в неизменяемых/офлайн‑репозиториях, регулярно тестируйте восстановление.
Детектирование и реакция: охота за артефактами Impacket, BloodHound и RDP‑брют; корреляция множественных OTP‑попыток; контроль AD‑энумерации; сетевая телеметрия и EDR на ключевых узлах.
С учетом активности Akira против SonicWall SSL VPN, организациям следует оперативно пересмотреть цепочку доверия к МФА, провести ревокацию и перевыпуск OTP‑секретов, устранить следы компрометации и сопоставить инфраструктуру с индикаторами Arctic Wolf и Huntress. Усиление аутентификации, блокировка уязвимых драйверов и защита резервных копий помогут снизить вероятность успешного вымогательства и ускорить восстановление в случае инцидента.
