Cisco предупреждает о крупномасштабной кампании по подбору учётных данных, нацеленной на сервисы VPN и SSH на устройствах Cisco, CheckPoint, Fortinet, SonicWall и Ubiquiti по всему миру.
Получив доступ к этим данным, злоумышленники могут использовать их для захвата устройства или получения доступа к внутренней сети.
По данным Cisco Talos, в этой новой кампании перебора используется сочетание действительных имён сотрудников, связанных с конкретными организациями. Исследователи говорят, что атаки начались 18 марта 2024 года, при этом они исходят из выходных узлов TOR и различных других инструментов анонимизации и прокси, которые злоумышленники используют для обхода блокировок.
«В зависимости от целевой среды успешные атаки этого типа могут привести к несанкционированному доступу к сети, блокировке учётных записей или отказам в обслуживании», — предупреждает Cisco Talos. Там также отметили, что трафик, связанный с этими атаками, со временем увеличился и, вероятно, продолжит расти.
Некоторые сервисы, используемые для проведения атак, включают TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy и Proxy Rack. Исследователи Cisco сообщают, что этой кампанией затронуты следующие сервисы:
Cisco Secure Firewall VPN,
Checkpoint VPN,
Fortinet VPN,
SonicWall VPN,
RD Web Services,
Miktrotik,
Draytek,
Ubiquiti.
Вредоносная деятельность не ориентирована на конкретные отрасли или регионы.
Команда Talos поделилась полным списком индикаторов компрометации (IoC) для этой деятельности на GitHub, включая IP-адреса злоумышленников для включения в чёрные списки, а также используемым ими списком имён пользователей и паролей.
В конце марта Cisco уже предупредила о волне атак с набором слабых паролей, нацеленных на службы удалённого доступа VPN (RAVPN), настроенные на устройствах Cisco Secure Firewall. Исследователь безопасности Аарон Мартин приписал их вредоносному ботнету под названием «Brutus», основываясь на наблюдаемых шаблонах атак и масштабах таргетинга.
Пока неясно, стали ли новые атаки продолжением тех, которые наблюдались ранее.
Источник: habr.com