Компания Huntress подтвердила активную эксплуатацию критической уязвимости в VPN-решениях SonicWall Secure Mobile Access (SMA) и межсетевых экранах. По данным аналитиков, атаки позволяют злоумышленникам полностью обходить многофакторную атификацию (MFA) с последующим развертыванием программ-вымогателей. Инциденты фиксируются с 25 июля при участии Arctic Wolf, Sophos и других кибербезопасных компаний. Скорость компрометации указывает на использование нулевого дня, причем угроза сохраняет актуальность.
Описание
Механика атаки: от периметра к шифрованию
Эксплуатация начинается с нарушения целостности устройств SonicWall. Далее, злоумышленники применяют комбинацию автоматизированных скриптов и ручных операций для эскалации привилегий. Например, часто используются чрезмерно открытые сервисные учетные записи вроде LDAPAdmin или системных аккаунтов самого оборудования. После этого, для обеспечения устойчивости, развертываются туннели Cloudflared и OpenSSH через директорию C:\ProgramData.
Затем атакующие перемещаются по сети посредством WMI и PowerShell Remoting. В частности, зафиксирован запуск скриптов для извлечения учетных данных из баз Veeam Backup. Дополнительно применяется wbadmin.exe для резервного копирования базы NTDS.dit Active Directory с целью последующего взлома. Непосредственно перед шифрованием данных злоумышленники систематически отключают защитные механизмы. Например, через Set-MpPreference нейтрализуется Microsoft Defender, а netsh.exe деактивирует межсетевые экраны. Финал атаки - удаление теневых копий vssadmin.exe и развертывание вымогателя Akira.
Тактика и инструментарий
Анализ 20 инцидентов выявил вариативность методов: от стандартных встроенных утилит (LOLBins) до специализированных инструментов вроде Advanced_IP_Scanner. Примечательно, что часть атакующих использовала WinRAR для упаковки данных идентичными командами:
1 | "C:\Program Files\WinRAR\WinRAR.exe" a -ep1 -scul -r0 -iext -imon1 -- . X:\[Redacted] |
Для сбора информации применялись как сетевые сканеры, так и системные утилиты:
1 2 3 | "C:\Windows\system32\nltest.exe" /dclist: Install-WindowsFeature RSAT-AD-PowerShell Get-ADComputer -Filter * -Property * | Select-Object Enabled, DNSHostName, IPv4Address > C:\programdata\[redacted].txt |
Установка средств удаленного доступа включала развертывание AnyDesk, ScreenConnect или OpenSSH:
1 | "C:\Windows\System32\msiexec.exe" /i "C:\ProgramData\OpenSSHa.msi" |
Параллельно создавались привилегированные учетные записи для сохранения контроля:
1 2 3 | net user lockadmin Msnc?42da /add net localgroup Administrators [redacted] /add net group "Domain Admins" azuresync /add |
Детали постэксплуатации
При перемещении между узлами злоумышленники активно собирали учетные данные. Например, копировали данные браузеров и резервировали системные файлы Active Directory:
1 2 | copy \"C:\Users\[redacted]\AppData\Local\Microsoft\Edge\User Data\Default\Login Data\" \"C:\Windows\Temp\1753954887.8450267\" "C:\Windows\system32\wbadmin.exe" start backup -backupTarget:\\localhost\c$\ProgramData\ -include:C:\Windows\NTDS\NTDS.dit |
Для обхода защиты модифицировались настройки брандмауэра и отключались уведомления безопасности:
1 2 | New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22 "C:\Windows\system32\SystemSettingsAdminFlows.exe" Defender DisableEnhancedNotifications 1 |
Кроме того, использовались невосстановленные скрипты (1.bat, 2.bat) и команды для предотвращения отката изменений. Финальный этап - запуск вымогателя через утилиту w.exe с параметрами доступа к сетевым ресурсам.
Масштаб и последствия
Скорость атак впечатляет: в течение часов после первоначального взлома злоумышленники достигали контроллеров домена. При этом вариативность техник указывает либо на общие методички, либо на высокую адаптивность групп. Хотя детали уязвимости остаются нераскрытыми, активность продолжается. В результате, инциденты демонстрируют критическую зависимость инфраструктур от периметровых решений, где единая точка отказа открывает путь к полному контролю.
Индикаторы компрометации
IPv4
- 104.238.205.105
- 104.238.220.216
- 181.215.182.64
- 193.163.194.7
- 193.239.236.149
- 194.33.45.155
- 42.252.99.59
- 45.86.208.240
- 77.247.126.239
CIDR
- 104.238.204.0/22
- 104.238.220.0/22
- 181.215.182.0/24
- 193.163.194.0/24
- 193.239.236.0/23
- 194.33.45.0/24
- 45.242.96.0/22
- 45.86.208.0/22
- 77.247.126.0/24
SHA256
- d080f553c9b1276317441894ec6861573fa64fb1fae46165a55302e782b1614d
User created by attacker
- lockadmin
- backupSQL
Password used by attacker
- Msnc?42da
- Password123$
- VRT83g$%ce
