Akira 勒索软件 操作员仍在寻找渗透 SonicWall SSL VPN 设备的方法，尽管已知漏洞已被修补，且受害者在所有账户上启用了多因素认证（MFA）。

　　在 2025 年 7 月底，安全研究机构 Arctic Wolf Labs 报告说，SonicWall SSL VPN 实例的恶意登录事件有所增加。当时，研究人员推测这些终端可能存在零日漏洞，但后来确认 Akira 的犯罪分子实际上是利用了 CVE-2024-40766，这是一种在 2024 年 9 月被发现并修复的不当访问控制缺陷。

　　除了修复漏洞，SonicWall 还建议客户重置所有 SSL VPN 凭据，但这些措施似乎没能有效阻止 Akira。

　　现在，Arctic Wolf 表示，即使是启用了双因素认证（2FA）的账户也出现了成功登录的情况。在本周早些时候发布的一份报告中，研究人员提到，在成功登录之前，针对账户登录尝试发出了多个一次性密码（OTP）挑战，这表明攻击者很可能已经破解了 OTP 种子，或者找到了其他生成令牌的方式。

　　“从这个角度来看，凭证可能是从易受CVE-2024-40766漏洞影响的设备中获取的ios vpn配置账号，随后被那些威胁行为者使用——即便这些设备已经打了补丁。在当前的攻击活动中，威胁行为者成功地对启用了多因素认证的一次性密码（OTP）账户进行了身份验证。”

　　“谷歌威胁情报组（GTIG）已识别出一个由我们追踪的涉嫌出于经济动机的威胁行为者UNC6148发起的持续活动，目标是已经完全修补但已终止服务的SonicWall安全移动访问（SMA）100系列设备，”谷歌在其报告中表示。“GTIG高度确认UNC6148利用之前入侵中窃取的凭证和一次性密码（OTP）种子，让他们即使在组织进行了安全更新后仍能重新获得访问权限。”