- Akira Ransomware는 CVE -2024-40766을 흡수하여 패치 및 MFA에도 불구하고 Sonalwal VPN에 액세스합니다.
- 연구원들은 OTP 씨앗이 도난 당했다고 의심하고 하나의 암호 보호 우회를 가능하게합니다.
- Google UNC6148 Patchad, Life-of Life Sonikwal SMA 100 응용 프로그램에서 공격
Akira Ransomwear 운영자는 여전히 Sonikwal SSL VPN 장치에 침투하는 방법을 찾고 있지만, 알려진 약점은 패치 중이지만 모든 계정에서 다중 인증 인증 (MFA)의 고통에도 불구하고.
여러 보안 연구원들은 공격이 발생했음을 확인했지만 실제로 일어나는 일에 대한 이론이 다르지만 다소 비슷합니다.
2025 년 7 월 말, 보호 연구원 Artic Wolf Labs는 Sonalwal SSL VPN 예를 통해 오염 된 로그인에 대한 열정을보고했습니다. 그 당시 연구원들은 마지막 요점이 제로 데이 약점을 겪고 있다고 가정했지만 나중에 아키라의 범죄자들은 실제로 CVE-2024-40766을 발견 한 것으로 확인되었다.
제로 데이 토큰은 NAB입니까?
Sonikwal은 패치 외에도 고객이 모든 SSL VPN 인증서를 재설정하도록 요구했지만 이러한 조치는 Akira를 걸프에 유지하기에 충분하지 않은 것 같습니다.
이제 Artic Wolf는 2FA 보호 계정으로 성공적인 로그인을보고 있다고 말합니다. 이번 주에 발표 된 보고서에서, 연구원들은 성공적인 로그인 전에 성공적인 로그인 전에 여러 번의 일회성 암호 (OTP) 문제가 발행되었다고 말하면서 공격자가 OTP 종자로 타협하거나 토큰을 만드는 다른 방법을 찾았다는 것을 나타냅니다.
“이 관점에서 볼 때, 자격 증명은 아마도 CVE-20-40766의 위험한 장치에서 수확되었고 나중에는 위협 행위자가 사용했을 것입니다.
동시에 구글은 도난당한 OTP 씨앗이 유죄 일 것이라고보고했지만 제로를 통해 영양을 공급 받았다.
Google은 그의 보고서에서 “Google 위협 인 Intelligence Group (GTIG)은 재정적으로 영감을 얻은 배우의 의심되는 캠페인을 확인했다. “신뢰도가 높은 GTIG는 UNC6148이 도난당한 인증서와 1 개의 타임 암호 (OTP) 종자를 획득하고 있으며, 이전 침입 중에 회사는 보안 업데이트를 적용한 후에도 액세스 할 수 있습니다.”
을 통해 블리핑 컴퓨터
