Cisco a împărtășit un set de recomandări pentru clienți în vederea mitigării atacurilor de tip password-spraying care au vizat serviciile Remote Access VPN (RAVPN) configurate pe dispozitivele Cisco Secure Firewall.
Compania afirmă că atacurile au vizat, de asemenea, și alte servicii de VPN de acces la distanță și par să facă parte din activități de recunoaștere.
În timpul unui atac de tip password-spraying, un adversar încearcă aceeași parolă cu mai multe conturi în încercarea de a se conecta.
Ghidul de mitigare al Cisco listează indicatorii compromiterii (IoC) pentru această activitate pentru a ajuta la detectarea atacurilor și blocarea acestora.
Acest lucru include imposibilitatea de a stabili conexiuni VPN cu Cisco Secure Client (AnyConnect) atunci când Firewall Posture (HostScan) este activat.
Un alt semn este o cantitate neobișnuită de cereri de autentificare înregistrate în jurnalele sistemului.
Recomandările Cisco pentru a se apăra împotriva acestor atacuri includ:
Cercetătorul de securitate Aaron Martin a declarat pentru BleepingComputer că activitatea observată de Cisco este probabil de la o rețea botnet de malware nedocumentată pe care a numit-o ‘Brutus’. Conexiunea se bazează pe scopul particular de targetare și modelele de atac.
Martin a publicat un raport despre botnetul Brutus descrigând metodele de atac neobișnuite pe care el și analistul Chris Grube le-au observat începând cu 15 martie. Raportul menționează că botnetul se bazează în prezent pe 20.000 de adrese IP la nivel mondial, acoperind diverse infrastructuri de la servicii cloud la adrese IP rezidențiale.
Atacurile observate inițial de Martin au vizat aparatele SSLVPN de la Fortinet, Palo Alto, SonicWall și Cisco, dar acum s-au extins și pentru a include aplicații web care folosesc Active Directory pentru autentificare.
Brutus își rotește adresele IP la fiecare șase încercări pentru a evita detectarea și blocarea, în timp ce folosește nume de utilizator foarte specifice care nu sunt disponibile în dump-urile publice de date.
Acest aspect al atacurilor ridică preocupări cu privire la modul în care aceste nume de utilizator au fost obținute și ar putea indica o breșă nedivulgată sau exploatarea unei vulnerabilități zero-day.
Deși operatorii Brutus sunt necunoscuți, Martin a identificat două adrese IP care au fost asociate cu activități anterioare ale APT29 (Midnight Blizzard, NOBELIUM, Cozy Bear), un grup de amenințare de spionaj crezut să lucreze pentru Serviciul de Informații Externe Rus (SVR).
Malware-ul TheMoon infectează 6.000 de routere ASUS în 72 de ore pentru servicii de proxy.
Nu, 3 milioane de periuțe de dinți electrice nu au fost folosite într-un atac DDoS.
Malware-ul PurpleFox infectează mii de computere în Ucraina.
Aplicațiile VPN gratuite de pe Google Play au transformat telefoanele Android în proxy-uri.
Hackerii otrăvesc codul sursă al celei mai mari platforme de boturi Discord.
Leave a Reply