SonicWall确认近期攻击活动与CVE-2024-40766漏洞存在直接关联,并警示用户即使设备已完成补丁更新,若更新前凭证已被窃取,系统仍可能面临安全威胁。
北极狼安全团队监测发现,自2025年7月下旬起,Akira勒索软件活动呈现显著上升趋势,攻击者正针对SonicWall SSL-VPN账户展开持续攻击。截至2025年9月20日,仍然能发现与此次攻击活动相关的新型基础设施。

突破多重认证的凭证窃取
Akira组织正在利用被盗凭证实施攻击,即使在已启用多因素认证的环境中也未能幸免。报告明确指出:"攻击者极可能通过此前利用CVE-2024-40766漏洞窃取的凭证访问SSL-VPN账户,包括已启用OTP动态密码的多因素认证账户。"
这反映出Akira组织长期专注于VPN攻击的典型特征。该组织过往的攻击活动曾利用思科ASA的CVE-2024-20269和思科AnyConnect的CVE-2020-3259等多个漏洞。
令人震惊的短驻留时间
最令人担忧的是攻击者极短的驻留时间。北极狼警告称:"在最近的数十起入侵事件中,攻击者从凭证访问到横向移动、数据窃取和加密的全过程不超过四小时,有些甚至快至55分钟。"这种加速的时间线使得防御者在勒索软件引爆前几乎没有时间进行检测和响应。
持续变换的基础设施
为规避检测,该组织持续变换其基础设施。"威胁行为者正在轮换基于VPS的客户端基础设施,试图规避免杀软件的检测。"防御者可通过监控来自VPS托管服务提供商(而非传统宽带或企业网络)的登录行为来发现异常活动。
跨行业的广泛攻击
受害者涵盖多个行业和组织规模,表明这是机会主义的大规模攻击而非针对性入侵。
SonicWall已确认攻击与CVE-2024-40766漏洞利用存在关联,并警告即使已安装补丁的设备,若更新前凭证已被盗取,仍可能面临风险。该公司建议采取以下措施:
重置防火墙上存储的所有凭证,包括SSL-VPN密码和OTP动态密钥;升级至SonicOS 7.3.0版本,该版本引入了暴力破解防护和多因素认证强化功能;清除未使用的账户;对所有远程访问强制执行多因素认证;启用僵尸网络防护和其他安全服务。