아키라 랜섬웨어 공격이 계속되고 있으며, 이 공격은 SonicWall SSL VPN 장치를 대상으로 하고 있습니다. 이 공격은 계속해서 발전하고 있으며, OTP MFA가 활성화된 계정에도 불구하고 위협 행위자들이 성공적으로 인증하고 있습니다. 이전에는 SonicWall SSL VPN 장치의 제로데이 취약점이 이용되어 기업 네트워크가 침해되는 것으로 의심되었으나, SonicWall은 이 공격을 2024년 9월에 공개된 CVE-2024-40766이라는 부적절한 접근 제어 결함에 연결시켰습니다. 이 결함은 2024년 8월에 패치되었지만, 위협 행위자들은 보안 업데이트가 적용된 후에도 이전에 탈취된 자격증명을 계속 사용하고 있습니다.
사이버보안 회사 Arctic Wolf의 최근 연구에 따르면, 위협 행위자들이 OTP(One-Time Password) 다중 인증이 활성화된 상태에서도 계정에 성공적으로 로그인하는 SonicWall 방화벽에 대한 지속적인 캠페인을 관찰하고 있습니다. 이 보고서는 계정 로그인 시도에 대해 여러 OTP 도전이 발행되었으며, 이어서 성공적인 로그인이 이루어졌음을 나타내는데, 이는 위협 행위자들이 OTP 시드를 탈취하거나 유효한 토큰을 생성하는 대체 방법을 발견했을 수 있음을 시사합니다.
Arctic Wolf는 Akira가 매우 빠르게 움직였으며, 종종 내부 네트워크를 5분 이내에 스캔했다고 보고하고 있습니다. 위협 행위자들은 Impacket SMB 세션 설정 요청, RDP 로그인, dsquery, SharpShares, BloodHound 등의 도구를 사용하여 Active Directory 객체를 열거하는 등의 방법을 사용했습니다. 특히 Veeam Backup & Replication 서버에 초점을 맞추어, 사용자 정의 PowerShell 스크립트를 배포하여 저장된 MSSQL과 PostgreSQL 자격증명, DPAPI 비밀을 추출하고 복호화했습니다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.