Serangan ransomware Akira yang sedang berlangsung dan menargetkan perangkat SonicWall SSL VPN terus berkembang, dengan pelaku ancaman yang ditemukan berhasil masuk meskipun OTP MFA diaktifkan pada akun. Para peneliti menduga hal ini mungkin terjadi melalui penggunaan seed OTP yang sebelumnya dicuri, meskipun metode pastinya masih belum dikonfirmasi.
Pada bulan Juli, operasi ransomware Akira mengeksploitasi perangkat SonicWall SSL VPN untuk menembus jaringan perusahaan, sehingga para peneliti mencurigai bahwa kelemahan zero-day sedang dieksploitasi untuk menyusupi perangkat ini.
Namun, SonicWall akhirnya mengaitkan serangan tersebut dengan kelemahan kontrol akses yang tidak tepat yang dilacak sebagai CVE-2024-40766 yang diungkapkan pada September 2024.
Meskipun kelemahan tersebut telah diperbaiki pada bulan Agustus 2024, pelaku ancaman terus menggunakan kredensial yang sebelumnya dicuri dari perangkat yang dieksploitasi, bahkan setelah pembaruan keamanan diterapkan.
Setelah menghubungkan serangan dengan kredensial yang dicuri menggunakan CVE-2024-40766, SonicWall mendesak administrator untuk mengatur ulang semua kredensial SSL VPN dan memastikan bahwa firmware SonicOS terbaru telah diinstal pada perangkat mereka.
Penelitian baru menunjukkan MFA berhasil dibypass
Perusahaan keamanan siber Arctic Wolf kini melaporkan adanya kampanye yang sedang berlangsung terhadap firewall SonicWall, dimana pelaku ancaman berhasil masuk ke akun meskipun autentikasi multifaktor one-time password (OTP) diaktifkan.
Laporan tersebut menunjukkan bahwa beberapa tantangan OTP dikeluarkan untuk upaya login akun, diikuti oleh login yang berhasil, menunjukkan bahwa pelaku ancaman mungkin juga telah membahayakan seed OTP atau menemukan cara alternatif untuk menghasilkan token yang valid.
“SonicWall menghubungkan login berbahaya yang diamati dalam kampanye ini ke CVE-2024-40766, kerentanan kontrol akses yang tidak tepat yang diidentifikasi setahun lalu,” jelas Arctic Wolf.
“Dari perspektif ini, kredensial berpotensi diambil dari perangkat yang rentan terhadap CVE-2024-40766 dan kemudian digunakan oleh pelaku ancaman-bahkan jika perangkat yang sama telah di-patch. Pelaku ancaman dalam kampanye kali ini berhasil mengautentikasi akun dengan fitur MFA one-time password (OTP) yang diaktifkan.”
Meskipun para peneliti mengatakan tidak jelas bagaimana afiliasi Akira mengautentikasi ke akun yang dilindungi MFA, laporan terpisah dari Google Threat Intelligence Group pada bulan Juli menggambarkan penyalahgunaan serupa pada VPN SonicWall.
Dalam kampanye tersebut, sebuah kelompok yang bermotivasi finansial yang dilacak sebagai UNC6148 menyebarkan rootkit OVERSTEP pada perangkat seri SMA 100 dengan menggunakan apa yang mereka yakini sebagai seed OTP yang sebelumnya dicuri, yang memungkinkan akses bahkan setelah patch diterapkan.
Google percaya bahwa para pelaku ancaman menggunakan benih OTP curian yang sebelumnya diperoleh dalam serangan zero-day, namun tidak yakin CVE mana yang dieksploitasi.
“Google Threat Intelligence Group (GTIG) telah mengidentifikasi kampanye yang sedang berlangsung oleh tersangka pelaku ancaman bermotif finansial yang kami lacak sebagai UNC6148, yang menargetkan peralatan seri 100 SonicWall Secure Mobile Access (SMA) yang sudah habis masa pakainya dan telah dipatch sepenuhnya,” Google memperingatkan.
"GTIG menilai dengan keyakinan tinggi bahwa UNC6148 memanfaatkan kredensial dan seed one-time password (OTP) yang dicuri selama intrusi sebelumnya, yang memungkinkan mereka mendapatkan kembali akses bahkan setelah organisasi menerapkan pembaruan keamanan."
Begitu masuk, Arctic Wolf melaporkan bahwa Akira bergerak sangat cepat, sering kali memindai jaringan internal dalam waktu 5 menit. Para peneliti mencatat bahwa pelaku ancaman juga menggunakan permintaan pengaturan session Ipacket SMB, login RDP, dan penghitungan objek Active Directory menggunakan tool seperti dsquery, SharpShares, dan BloodHound.
Fokus khusus adalah pada server Veeam Backup & Replication, tempat skrip PowerShell khusus diterapkan untuk mengekstrak dan mendekripsi kredensial MSSQL dan PostgreSQL yang tersimpan, termasuk rahasia DPAPI.
Untuk menghindari perangkat lunak keamanan, afiliasi melakukan serangan Bring-Your-Own-Vulnerable-Driver (BYOVD) dengan menyalahgunakan persetujuan sah Microsoft.exe yang dapat dieksekusi untuk melakukan sideload DLL berbahaya yang memuat driver yang rentan (rwdrv.sys, churchill_driver.sys).
Driver ini digunakan untuk menonaktifkan proses perlindungan endpoint, sehingga memungkinkan enkripsi ransomware berjalan tanpa diblokir.
Laporan tersebut menekankan bahwa beberapa serangan ini mempengaruhi perangkat yang menjalankan SonicOS 7.3.0, yang merupakan rilis yang direkomendasikan SonicWall untuk dipasang oleh admin guna memitigasi serangan kredensial.
Admin sangat disarankan untuk mengatur ulang semua kredensial VPN pada perangkat apapun yang sebelumnya menggunakan firmware rentan, karena meskipun diperbarui, penyerang dapat terus menggunakan akun yang dicuri untuk mendapatkan akses awal ke jaringan perusahaan.
0 Comments
