Akiraランサムウェアグループに関連する脅威アクターは、初期アクセスのためにSonicWallデバイスを引き続き標的にしています。
サイバーセキュリティ企業Rapid7は、過去1か月間にSonicWallアプライアンスを利用した侵入が急増していることを観測したと発表しました。特に2025年7月下旬以降、Akiraランサムウェアの活動再燃に関する報告を受けてから顕著となっています。
その後、SonicWallは自社ファイアウォールを標的としたSSL VPNの活動が、1年前に発見されたセキュリティ脆弱性(CVE-2024-40766、CVSSスコア:9.3)に関係していることを明らかにしました。この脆弱性では、ローカルユーザーのパスワードが移行時に引き継がれ、リセットされませんでした。
「ユーザー認証情報をブルートフォースしようとするアクターによる脅威活動が増加していることを観測しています」と同社は指摘しています。「リスクを軽減するために、顧客は既知の脅威アクターをブロックするBotnet Filteringを有効にし、アカウントロックアウトポリシーが有効になっていることを確認してください。」
SonicWallはまた、LDAP SSL VPNデフォルトユーザーグループの確認をユーザーに促しています。これはAkiraランサムウェア攻撃の文脈において「重大な弱点」となり得る設定ミスだと説明しています。
この設定では、認証に成功したすべてのLDAPユーザーが、実際のActive Directoryのメンバーシップに関係なく、あらかじめ定義されたローカルグループに自動的に追加されます。もしそのデフォルトグループがSSL VPNや管理インターフェース、制限のないネットワークゾーンなどの機密サービスへのアクセス権を持っている場合、これらのサービスを正当に必要としないADアカウントが侵害された場合でも、即座にその権限を継承します。
これにより、意図されたADグループベースのアクセス制御が実質的に回避され、攻撃者は有効な認証情報を取得した時点でネットワーク境界への直接的な経路を得ることになります。
Rapid7は警告の中で、SonicWallアプライアンスがホストするVirtual Office Portalへの脅威アクターによるアクセスも観測していると述べています。特定のデフォルト設定では、これが公開アクセスを容易にし、事前に認証情報が漏洩していれば、攻撃者が有効なアカウントでmMFA/TOTPを設定できてしまう可能性があります。
「Akiraグループは、これら3つのセキュリティリスクすべてを組み合わせて、不正アクセスを獲得し、ランサムウェア攻撃を実行している可能性があります」と述べています。
リスクを軽減するために、組織はすべてのSonicWallローカルアカウントのパスワードを変更し、未使用または非アクティブなSonicWallローカルアカウントを削除し、MFA/TOTPポリシーが設定されていることを確認し、Virtual Office Portalへのアクセスを内部ネットワークに制限することが推奨されています。
AkiraによるSonicWall SSL VPNの標的化については、オーストラリアのサイバーセキュリティセンター(ACSC)も言及しており、同センターはこのデバイスを通じて脆弱なオーストラリアの組織がランサムウェア集団の攻撃を受けていることを認識していると述べています。
2023年3月の登場以来、Akiraはランサムウェア脅威の分野で持続的な脅威となっており、Ransomware.Liveの情報によれば、これまでに967件の被害を主張しています。CYFIRMAが共有した統計によると、Akiraは2025年7月に40件の攻撃を記録し、QilinとINC Ransomに次いで3番目に活動的なグループとなっています。
2025年第2四半期に世界中の産業系組織に影響を与えた657件のランサムウェア攻撃のうち、Qilin、Akira、Playランサムウェアファミリーがそれぞれ101件、79件、75件でトップ3を占めました。
Akiraは「製造業や運輸業を一貫して標的とし、高度なフィッシングやマルチプラットフォーム型ランサムウェア展開を通じて、かなりの活動を維持している」と、産業系サイバーセキュリティ企業Dragosは先月発表したレポートで述べています。
最近のAkiraランサムウェア感染では、検索エンジン最適化(SEO)ポイズニング技術を利用し、人気のIT管理ツールのトロイの木馬化されたインストーラーを配布し、それを使ってBumblebeeマルウェアローダーを展開しています。
攻撃はその後、Bumblebeeを経路として、AdaptixC2ポストエクスプロイトおよび敵対的エミュレーションフレームワークを配布し、永続的なリモートアクセスのためにRustDeskをインストールし、データを流出させ、ランサムウェアを展開します。
Palo Alto Networks Unit 42によると、AdaptixC2の多用途かつモジュール式の性質により、脅威アクターは感染システム上でコマンドの実行、ファイル転送、データ流出を行うことができます。また、オープンソースであるため、攻撃者が自分たちのニーズに合わせてカスタマイズできる点も指摘されています。
同社によれば、AdaptixC2を拡散する他のキャンペーンでは、Microsoft Teams通話でITヘルプデスクを装い、Quick Assist経由でリモートアクセスを許可させ、PowerShellスクリプトをドロップしてシェルコードペイロードをメモリ上で復号・実行させる手口も使われています。
「Akiraランサムウェアグループは標準的な攻撃フローに従っています。SSLVPNコンポーネントを介した初期アクセスの取得、権限昇格による特権アカウントやサービスアカウントの取得、ネットワーク共有やファイルサーバからの機密ファイルの探索・窃取、バックアップの削除または停止、そしてハイパーバイザー層でのランサムウェア暗号化の展開です」とRapid7は述べています。
翻訳元: https://thehackernews.com/2025/09/sonicwall-ssl-vpn-flaw-and.html