北極狼安全團(tuán)隊(duì)觀察到，自2025年7月下旬以來(lái)，阿基拉（Akira）勒索軟件活動(dòng)顯著增加，攻擊者正積極針對(duì)SonicWall SSL VPN賬戶展開攻擊。截至2025年9月20日，仍能發(fā)現(xiàn)與該攻擊活動(dòng)相關(guān)的新基礎(chǔ)設(shè)施。

繞過(guò)多重認(rèn)證的憑證竊取

阿基拉組織正在利用竊取的憑證實(shí)施攻擊，甚至在已啟用多重認(rèn)證（MFA）的環(huán)境中也不例外。報(bào)告指出："威脅行為者很可能通過(guò)此前利用（CVE-2024-40766）漏洞竊取的憑證訪問(wèn)SSL VPN賬戶，包括已啟用OTP MFA的賬戶。"

這反映出阿基拉長(zhǎng)期專注于VPN攻擊的特點(diǎn)。該組織過(guò)去的攻擊活動(dòng)曾利用思科ASA的（CVE-2023-20269）和思科AnyConnect的（CVE-2020-3259）等漏洞。

驚人的短駐留時(shí)間

最令人擔(dān)憂的是攻擊者極短的駐留時(shí)間。北極狼警告稱："在最近的數(shù)十起入侵事件中，攻擊者從憑證訪問(wèn)到橫向移動(dòng)、數(shù)據(jù)竊取和加密的全過(guò)程不到四小時(shí)，有些甚至快至55分鐘。"這種加速的時(shí)間線使得防御者在勒索軟件引爆前幾乎沒(méi)有時(shí)間進(jìn)行檢測(cè)和響應(yīng)。

不斷變換的基礎(chǔ)設(shè)施

為逃避檢測(cè)，該組織持續(xù)變換其基礎(chǔ)設(shè)施。"威脅行為者正在輪換基于VPS的客戶端基礎(chǔ)設(shè)施，試圖規(guī)避檢測(cè)。"防御者可通過(guò)監(jiān)控來(lái)自VPS托管服務(wù)提供商（而非傳統(tǒng)寬帶或企業(yè)網(wǎng)絡(luò)）的登錄行為來(lái)發(fā)現(xiàn)異常。

跨行業(yè)的廣泛攻擊

受害者涵蓋多個(gè)行業(yè)和組織規(guī)模，表明這是機(jī)會(huì)主義的大規(guī)模攻擊而非針對(duì)性入侵。

SonicWall已確認(rèn)攻擊與（CVE-2024-40766）漏洞利用有關(guān)，并警告即使已打補(bǔ)丁的設(shè)備，若更新前憑證已被竊取，仍可能面臨風(fēng)險(xiǎn)。該公司建議：

• 重置防火墻上存儲(chǔ)的所有憑證，包括SSL VPN密碼和OTP MFA密鑰
• 升級(jí)至SonicOS 7.3.0版本，該版本引入了暴力破解防護(hù)和MFA強(qiáng)化功能
• 刪除未使用的賬戶，并對(duì)所有遠(yuǎn)程訪問(wèn)強(qiáng)制執(zhí)行MFA
• 啟用僵尸網(wǎng)絡(luò)防護(hù)和其他安全服務(wù)