Cisco, müşterilerin Cisco Secure Güvenli Güvenlik Duvarı cihazlarında yapılandırılmış uzaktan Access VPN (RAVPN) hizmetlerini hedefleyen şifre püskürtme saldırılarını azaltmaları için bir dizi öneri paylaştı.
Şirket, saldırıların diğer uzaktan erişim VPN hizmetlerini de hedeflediğini ve keşif faaliyetinin bir parçası gibi göründüğünü söylüyor.
Parola püskürtme saldırısı sırasında, bir düşman giriş yapmak için aynı şifreyi birden fazla hesapla dener.
Cisco’nun hafifletme kılavuzu, saldırıları tespit etmeye ve engellemeye yardımcı olmak için bu etkinlik için uzlaşma göstergelerini (IOCS) listeler.
Bu, güvenlik duvarı duruşu (HostScan) etkin olduğunda Cisco Secure istemcisi (AnyConnect) ile VPN bağlantıları kuramamayı içerir.
Başka bir işaret, sistem günlükleri tarafından kaydedilen alışılmadık miktarda kimlik doğrulama isteğidir.
Cisco’nun bu saldırılara karşı savunma önerileri şunlardır:
Güvenlik araştırmacısı Aaron Martin, BleepingComputer'a Cisco tarafından gözlemlenen etkinliğin muhtemelen 'Brutus' adını verdiği belgelenmemiş bir kötü amaçlı yazılım botnetinden geldiğini söyledi. Bağlantı belirli hedefleme kapsamı ve saldırı kalıplarına dayanıyor.
Martin, Brutus Botnet hakkında, kendisi ve analist Chris Grube'un 15 Mart'tan beri gözlemledikleri olağandışı saldırı yöntemlerini açıklayan bir rapor yayınladı. Raporda, BotNet'in şu anda dünya çapında 20.000 IP adresine dayandığını ve bulut hizmetlerinden konut IP'lerine çeşitli altyapıları kapsadığını belirtiyor.
Martin'in gözlemlediği saldırılar başlangıçta Fortinet, Palo Alto, Sonicwall ve Cisco'dan SSLVPN cihazlarını hedef aldı, ancak şimdi kimlik doğrulama için Active Directory kullanan web uygulamalarını da içerecek şekilde genişledi.
Brutus, IP'lerini algılama ve engellemeden kaçınmak için her altı denemeden döndürürken, genel veri dökümlerinde bulunmayan çok özel olmayan çok özel olmayan kullanıcı adları kullanır.
Saldırıların bu yönü, bu kullanıcı adlarının nasıl elde edildiğine dair endişeleri gündeme getirmektedir ve sıfır gün güvenlik açığının açıklanmayan bir ihlali veya sömürülmesini gösterebilir.
Brutus'un operatörleri bilinmemekle birlikte, Martin, Rusya Dış İstihbarat Servisi (SVR) için çalıştığına inanılan bir casusluk tehdidi grubu olan APT29'un (gece yarısı Blizzard, Nobelium, Cozy Bear) geçmiş faaliyetleriyle ilişkili iki IP tanımladı.
THEOON kötü amaçlı yazılım, proxy hizmeti için 72 saat içinde 6.000 asus yönlendiricisine enfekte ediyor
Hayır, bir DDOS saldırısında 3 milyon elektrikli diş fırçası kullanılmadı
Purplefox kötü amaçlı yazılım Ukrayna'da binlerce bilgisayarı bulaştı
Dinodasrat kötü amaçlı yazılım, Casusluk Kampanyasında Linux sunucularını hedefler
Activision: 2FA'nın yakın zamanda kötü amaçlı yazılımlarla çalınan hesapları güvence altına almasını sağlayın
Kaynak: Bleeping Computer