ランサムウェアは、SonicOS 6~8を搭載したNSAシリーズおよびTZシリーズのデバイスを標的とし、VPSプロバイダーからの悪意のあるSSL VPNログインを介して初期アクセスを行いました。
攻撃は、CVE-2024-40766脆弱性の以前のエクスプロイトで取得された認証情報を使用し、盗まれたOTPシードを使用してアカウントのMFAをバイパスしたと考えられます。
研究者は、認証情報が盗まれたのは、マルウェアに感染したネットワークに対抗するために、ファームウェアのアップグレード後も有効なためだと考えています(ファイアウォールやアンチウイルスソフト(デフォルトではサポートされていません)など)。
しかし、認証後5分以内に環境を復号することはできませんでした。
コメント