Исследователи в области кибербезопасности выявили скоординированную кампанию, нацеленную на точки аутентификации VPN-сервисов Cisco и Palo Alto Networks с использованием учетных данных.
Всего за два дня в середине декабря злоумышленники предприняли масштабные автоматизированные попытки входа в системы SSL VPN от Cisco и сервисы GlobalProtect от Palo Alto Networks.
Анализ, проведенный GreyNoise, показал, что кампания не эксплуатирует уязвимости программного обеспечения, а вместо этого полагается на перебор комбинаций имен пользователей и паролей в больших масштабах. «Использование единой инфраструктуры и временные совпадения указывают на одну кампанию, охватывающую несколько VPN-платформ», — заявили исследователи в своем блоге.
GreyNoise зафиксировала миллионы сеансов входа, исходящих с более чем 10 000 уникальных IP-адресов атакующих, что свидетельствует о высокоскриптованной и централизованной кампании. Компания также уточнила, что не имеет доказательств, связывающих эту активность с недавней кампанией, нацеленной на Cisco Secure Email Gateway и Secure Email and Web Manager.
Порталы Palo Alto подверглись волне трафика для входа
GreyNoise сообщила о резком увеличении автоматизированного трафика для входа, нацеленного на порталы GlobalProtect от Palo Alto Networks 11 декабря. За 16-часовой период было зафиксировано около 1,7 миллиона сеансов, направленных на эмулированные конечные точки входа GlobalProtect и PAN-OS.
Термин «эмулированные» относится к ложным или имитирующим страницам входа в VPN, которые использует GreyNoise, а не к реальным VPN-сервисам клиентов.
Целевые порталы были географически распределены, в основном в США, Пакистане и Мексике, при этом трафик почти исключительно исходил из IP-диапазонов, связанных с одним немецким хостинг-провайдером — 3xk GmbH. Попытки входа следовали строго однообразному шаблону, используя распространенные имена пользователей и пароли, и даже имитируя строку user agent браузера Firefox.
Исследователи отметили, что это явный признак скриптованных проверок учетных данных, а не случайного сканирования.
«Такая единообразность user agent, структуры запросов и времени указывает на скриптованную проверку учетных данных, предназначенную для выявления открытых или слабо защищенных порталов GlobalProtect, а не на попытки интерактивного доступа или использование уязвимостей», — заявили они.
Последовала попытка подбора паролей к Cisco SSL VPN
Всего через день после всплеска активности в отношении GlobalProtect, та же инфраструктура злоумышленников переключилась на конечные точки Cisco SSL VPN, используя тот же TCP-отпечаток и IP-пространство хостинг-провайдера. GreyNoise зафиксировала увеличение числа уникальных IP-адресов атакующих с обычного ежедневного уровня менее 200 до более чем 1200, что сигнализировало о резком росте попыток брутфорса для входа.
В отличие от более структурированной активности в отношении GlobalProtect, большая часть трафика Cisco направлялась на нейтральные сенсоры-фасады. Это указывало на то, что злоумышленники проводили широкомасштабное сканирование, а не использовали тщательно составленный список известных конечных точек.
Тем не менее, основополагающее поведение оставалось автоматизированными попытками аутентификации с использованием учетных данных.
GreyNoise призывает защитников усилить меры безопасности аутентификации, включая использование надежных паролей и многофакторной аутентификации (MFA), аудит открытых периферийных устройств на предмет неожиданных попыток входа и использование списков блокировки угроз для фильтрации вредоносных IP-адресов на периметре. Компания предоставила списки блокировки для клиентов своей платформы, а также для пользователей, не использующих GreyNoise.
Автор – Shweta Sharma
