9月初資安業者SonicWall針對防火牆作業系統SonicOS重大層級漏洞CVE-2024-40766(CVSS風險評分為9.3),表明他們掌握這項漏洞有實際攻擊行動出現,資安業者Arctic Wolf也觀察到相關資安事故,如今他們公布更多調查結果。
10月24日Arctic Wolf表示,他們最早是在8月初察覺勒索軟體Akira及Fog的攻擊行動顯著增加的情況,而且,駭客初期入侵受害組織環境的管道,就是利用SonicWall防火牆設備的SSL VPN帳號。
截至10月中旬,駭客已發起約30起攻擊行動,根據研究人員掌握的受害企業組織產業類型和規模,駭客很可能隨機尋找下手目標,並未針對特定產業而來。
這些資安事故當中,約有四分之三與Akira有關,其餘則是被植入Fog。研究人員提及,駭客從入侵到加密檔案的時間並不長,大部分接近10個小時,但最短的僅有1.5至2個小時。
針對駭客入侵的方法,研究人員根據防火牆的事件記錄資料進行分析,他們尚未發現利用其他已知RCE漏洞的跡象,而且,攻擊者主要是透過虛擬專用伺服器(VPS)存取SSL VPN連線。值得一提的是,駭客利用的SSL VPN帳號並未與AD或其他類似的身分驗證機制整合,但研究人員無法確認使用者有無啟用多因素驗證(MFA)機制。
值得留意的是,在部分Akira和Fog攻擊事故當中,出現駭客似乎共用IP位址及相關基礎設施的情況,但是否就是同一組人馬從事攻擊?研究人員並未進一步說明。
對於駭客成功入侵的後續活動,Arctic Wolf發現駭客將偷到的資料分為兩大類,一是6個月內有資料外洩價值的應用程式、員工文件與通用檔案,另一是30個月內有資料外洩價值的文件,像是人力資源或是應付帳款的資料。
雖然研究人員無法斷定駭客在攻擊行動當中利用了CVE-2024-40766,甚至認為VPN帳密資料可能是透過其他管道取得,但有鑑於該漏洞相當危險,他們認為IT人員還是應優先處理,以免身陷漏洞相關風險。
熱門新聞
2024-11-29
2024-12-19
2024-11-20
2024-11-15
2024-11-15