Компанія Cisco поділилася набором рекомендацій для клієнтів щодо пом’якшення атак із використанням пароля, спрямованих на служби Remote Access VPN (RAVPN), налаштовані на пристроях Cisco Secure Firewall. Про це повідомляє BleepingComputer.
У компанії кажуть, що атаки також були спрямовані на інші служби VPN віддаленого доступу та, схоже, були частиною розвідувальної діяльності. Під час атаки з розпиленням пароля зловмисник пробує той самий пароль для кількох облікових записів, намагаючись увійти.
Посібник Cisco з пом’якшення наслідків перелічує індикатори компрометації (IoC) для цієї діяльності, щоб допомогти виявити атаки та заблокувати їх.
Це включає нездатність встановити з’єднання VPN із захищеним клієнтом Cisco (AnyConnect), коли увімкнено Firewall Posture (HostScan).
Іншою ознакою є незвичайна кількість запитів на автентифікацію, зареєстрованих системними журналами.
Рекомендації Cisco щодо захисту від цих атак:
- Увімкнення журналювання на віддаленому сервері системного журналу для покращення аналізу інцидентів і кореляції.
- Захист профілів VPN віддаленого доступу за замовчуванням шляхом направлення невикористаних профілів з’єднання за замовчуванням на сервер AAA sinkhole для запобігання несанкціонованому доступу.
- Використання протоколу TCP Shun для ручного блокування шкідливих IP-адрес.
- Налаштування ACL рівня керування для фільтрації неавторизованих загальнодоступних IP-адрес від ініціювання сеансів VPN.
- Використання автентифікації на основі сертифіката для RAVPN, яка забезпечує більш безпечний метод автентифікації, ніж традиційні облікові дані.
Дослідник безпеки Аарон Мартін сказав у коментарі BleepingComputer, що діяльність, яку спостерігає Cisco, ймовірно, походить від недокументованого ботнету зловмисного програмного забезпечення, який він назвав Brutus. З’єднання базується на конкретному обсязі націлювання та моделях атак.
Мартін опублікував звіт про ботнет Brutus, в якому описав незвичайні методи атаки, які він та аналітик Кріс Груб спостерігали з 15 березня.
У звіті зазначається, що наразі ботнет використовує 20 тисяч IP-адрес у всьому світі, охоплюючи різні інфраструктури – від хмарних сервісів до домашніх IP-адрес.
Атаки, які спостерігав Мартін, спочатку були спрямовані на пристрої SSLVPN від Fortinet, Palo Alto, SonicWall і Cisco, але тепер вони розширилися й також охопили вебпрограми, які використовують Active Directory для автентифікації.
Brutus змінює свої IP-адреси кожні шість спроб, щоб уникнути виявлення і блокування. При цьому він використовує дуже конкретні нерозголошені імена користувачів, які недоступні в загальнодоступних дампах даних.
Цей аспект атак викликає занепокоєння щодо того, як ці імена користувачів були отримані, і може вказувати на нерозкритий злам або використання вразливості нульового дня.
Хоча оператори Brutus невідомі, Мартін ідентифікував дві IP-адреси, які були пов’язані з попередньою діяльністю APT29 (Midnight Blizzard, NOBELIUM, Cozy Bear). Це шпигунська група, яка, ймовірно, працює на Службу зовнішньої розвідки рф (SVR).
Раніше ProIT повідомляв, що Cisco виправляє серйозні вразливості у корпоративній VPN-програмі Secure Client.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!