与 Akira 勒索软件 相关的威胁行为者持续针对 SonicWall 设备进行初始访问攻击。

网络安全公司 Rapid7 表示，他们在过去一个月内观察到针对 SonicWall 设备的入侵活动激增，尤其是在自 2025 年 7 月下旬关于 Akira 勒索软件活动复苏的报告发布后。

随后，SonicWall 揭示，这些针对其防火墙的 SSL VPN 攻击 利用的是一年前的安全漏洞（CVE-2024-40766，CVSS 评分：9.3），该漏洞原因在于本地用户密码在迁移过程中被保留且未重置。

该公司指出：“我们观察到攻击者尝试暴力破解用户凭据的威胁活动增加。为降低风险，客户应启用 Botnet Filtering 来阻止已知威胁行为者，并确保启用 账户锁定策略。”

SonicWall 还敦促用户检查 LDAP SSL VPN 默认用户组，并指出在 Akira 勒索软件攻击背景下，如果配置不当，这可能成为“关键弱点”。

这一设置会将每个成功认证的 LDAP 用户自动添加到预定义的本地组，而不管其在 Active Directory 中的实际成员身份。如果该默认组可以访问敏感服务——如 SSL VPN、管理界面或无限制网络区域——那么任何被入侵的 AD 账户，即使本身无权访问这些服务，也会立即继承这些权限。

这实际上绕过了 AD 基于组的访问控制，一旦攻击者获取有效凭据，就能直接进入网络外围。

Rapid7 在警报中指出，他们还观察到威胁行为者访问由 SonicWall 设备托管的 Virtual Office Portal，在某些默认配置下，该门户可能允许公共访问，并使攻击者能够利用有效账户配置 mMFA/TOTP，前提是存在先前的凭据泄露。

Rapid7 进一步表示：“Akira 组织可能结合利用以上三种安全风险来获取未经授权的访问权限并执行勒索软件操作。”

为降低风险，建议组织采取以下措施：

对所有 SonicWall 本地账户进行密码轮换

删除任何未使用或不活跃的本地账户

确保 MFA/TOTP 策略已配置

将 Virtual Office Portal 访问限制在内部网络

澳大利亚网络安全中心（ACSC）也证实，Akira 正通过 SonicWall 设备攻击澳大利亚的易受攻击组织。

自 2023 年 3 月首次出现以来，Akira 一直是勒索软件威胁领域的持续威胁，据 Ransomware.Live 数据，截至目前已有 967 个受害者。根据 CYFIRMA 统计，2025 年 7 月 Akira 发动了 40 次攻击，是继 Qilin 和 INC Ransom 之后第三活跃的勒索软件组织。

在 2025 年第二季度全球 657 起影响工业实体的勒索软件攻击中，Qilin、Akira 和 Play 勒索软件家族位列前三，分别报告 101、79 和 75 起事件。

工业网络安全公司 Dragos 在上个月发布的报告中指出，Akira 通过高级钓鱼和多平台勒索软件部署，持续针对制造业和运输业开展攻击。

近期，Akira 勒索软件感染还利用 搜索引擎优化（SEO）投毒技术，投放流行 IT 管理工具的木马化安装程序，随后用其下载 Bumblebee 恶意加载器。

这些攻击随后利用 Bumblebee 作为渠道，分发 AdaptixC2 后期利用与对抗模拟框架，安装 RustDesk 以实现持续远程访问，进行数据外泄，并部署勒索软件。

根据 Palo Alto Networks Unit 42 的分析，AdaptixC2 的多功能和模块化特性允许威胁行为者在受感染系统上执行命令、传输文件并进行数据外泄。由于该框架是开源的，攻击者还可以根据自身需求进行定制。

该网络安全公司还表示，其他利用 AdaptixC2 的攻击活动通过模仿 IT 帮助台的 Microsoft Teams 电话，诱导用户通过 Quick Assist 授予远程访问权限，并投放 PowerShell 脚本，将 shellcode 有效载入内存执行。

Rapid7 指出：“Akira 勒索软件组织遵循标准攻击流程：通过 SSL VPN 组件获得初始访问，提升权限至高权限账户或服务账户，定位并窃取网络共享或文件服务器中的敏感文件，删除或停止备份，并在虚拟机管理程序（hypervisor）级别部署勒索软件加密。”

思科已发布补丁来解决影响其安全客户端软件的高严重性安全漏洞，威胁行为者可能会利用该漏洞与目标用户打开 VPN 会话。

该网络设备公司将该漏洞描述为 CVE-2024-20337（CVSS 评分：8.2），允许未经身份验证的远程攻击者对用户进行回车换行 ( CRLF ) 注入攻击。

由于对用户提供的输入验证不足，威胁行为者可能会利用该缺陷诱骗用户在建立 VPN 会话时单击特制链接。

该公司在一份公告中表示：“成功的利用可能允许攻击者在浏览器中执行任意脚本代码或访问基于浏览器的敏感信息，包括有效的 SAML 令牌。”

“然后，攻击者可以使用该令牌以受影响用户的权限建立远程访问 VPN 会话。VPN 头端后面的各个主机和服务仍然需要额外的凭据才能成功访问。”

该漏洞影响 Windows、Linux 和 macOS 的 Secure Client，并已在以下版本中得到解决 -

4.10.04065 之前（不易受攻击）
4.10.04065 及更高版本（在 4.10.08025 中修复）
5.0（迁移到固定版本）
5.1（在 5.1.2.42 中修复）

亚马逊安全研究员Paulos Yibelo Mesfin被认为发现并报告了该缺陷，他告诉黑客新闻，当目标访问其控制下的网站时，该缺陷允许攻击者访问本地内部网络。

思科还发布了 CVE-2024-20338（CVSS 评分：7.3）的修复程序，这是 Linux 安全客户端中的另一个高严重性缺陷，可能允许经过身份验证的本地攻击者提升受影响设备上的权限。它已在版本 5.1.2.42 中得到解决。

它说：“攻击者可以通过将恶意库文件复制到文件系统中的特定目录并说服管理员重新启动特定进程来利用此漏洞。 ” “成功的利用可能允许攻击者以 root 权限在受影响的设备上执行任意代码。”