Ботнет Brutus брутфорсит VPN-сервисы - «Новости» » Интернет технологии
sitename
Учёт рабочего времени
Учёт рабочего времени
 NASA: ракета SLS готова для исторической доставки астронавтов к Луне в следующем году - «Новости сети»
NASA: ракета SLS готова для исторической доставки астронавтов к Луне в следующем году - «Новости сети»
 Пользователей Windows 11 втихую лишили возможности навсегда отключать автообновления приложений из Microsoft Store - «Новости сети»
Пользователей Windows 11 втихую лишили возможности навсегда отключать автообновления приложений из Microsoft Store - «Новости сети»
 Игроки Victoria 3 за год довели до голодной смерти 860 квадриллионов человек — это больше населения Земли в 106 миллионов раз - «Новости сети»
Игроки Victoria 3 за год довели до голодной смерти 860 квадриллионов человек — это больше населения Земли в 106 миллионов раз - «Новости сети»
 OpenAI представила ИИ-браузер ChatGPT Atlas — альтернатива Google Chrome с «памятью» и агентами - «Новости сети»
OpenAI представила ИИ-браузер ChatGPT Atlas — альтернатива Google Chrome с «памятью» и агентами - «Новости сети»
 Многострадальная Vampire: The Masquerade — Bloodlines 2 добралась до релиза спустя 20 лет после выхода культовой первой части - «Новости сети»
Многострадальная Vampire: The Masquerade — Bloodlines 2 добралась до релиза спустя 20 лет после выхода культовой первой части - «Новости сети»
 Librarian Likho разрабатывает собственную малварь с помощью ИИ - «Новости»
Librarian Likho разрабатывает собственную малварь с помощью ИИ - «Новости»
 На Positive Security Day рассказали о новых продуктах и трендах - «Новости»
На Positive Security Day рассказали о новых продуктах и трендах - «Новости»
 Подрядчик Discord отрицает компрометацию своих систем - «Новости»
Подрядчик Discord отрицает компрометацию своих систем - «Новости»
 Банкер Astaroth использует GitHub, чтобы избегать блокировок - «Новости»
Банкер Astaroth использует GitHub, чтобы избегать блокировок - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Ботнет Brutus брутфорсит VPN-сервисы - «Новости»

✔Ботнет Brutus брутфорсит VPN-сервисы - «Новости»

01 апреля 2024 510 Новости / Преимущества стилей / Отступы и поля / Типы носителей / Заработок / Добавления стилей 0

Компания Cisco опубликовала набор рекомендаций и предупредила клиентов об атаках типа password spray, которые нацелены на службы Remote Access VPN (RAVPN), настроенные на устройствах Cisco Secure Firewall. Судя по всему, эта активность связана с ботнетом Brutus.


В Cisco сообщают, что атаки, по всей видимости, нацелены и на другие VPN-сервисы и являются частью разведывательной деятельности неизвестных злоумышленников.


В ход password spray атак хакеры пытаются ввести один и тот же пароль в нескольких учетных записях, стремясь войти в систему. В руководстве Cisco перечислены индикаторы компрометации (IoC) этой активности, которые помогут обнаружить атаки и заблокировать их. Например, к таковым относится невозможность установить VPN-соединение с помощью Cisco Secure Client (AnyConnect), когда включен Firewall Posture (HostScan).


Еще один признак вредоносной активности — необычно больше количество запросов на аутентификацию, зафиксированное в системных логах. Прочие рекомендации Cisco по защите от этих атак включают:



  • включение ведения журналов на удаленном сервере syslog для улучшения анализа и отслеживания взаимосвязи между инцидентами;

  • использование TCP shun для ручной блокировки вредоносных IP-адресов;

  • настройка ACL для отсеивания неавторизованных публичных IP-адресов при инициировании VPN-сессий;

  • использование аутентификации на основе сертификатов для RAVPN, что является более безопасным методом, чем обычные учетные данные.


ИБ-специалист Аарон Мартин (Aaron Martin) полагает, что эта активность и предупреждения Cisco, скорее всего, связаны с новым ботнетом, которому исследователь дал имя Brutus.


На дня Мартин опубликовал отчет о Brutus, где описаны методы атак, которые он и его коллега Крис Груб (Chris Grube) наблюдают с 15 марта 2024 года. В отчете отмечается, что в настоящее время ботнет использует около 20 000 IP-адресов по всему миру, которые охватывают различные инфраструктуры, от облачных сервисов до IP-адресов жилых домов.


Изначально атаки ботнета были направлены на SSLVPN-решения Fortinet, Palo Alto, SonicWall и Cisco, но теперь они распространились и на веб-приложения, использующие Active Directory для аутентификации.


Известно, что Brutus меняет IP-адреса каждые шесть попыток, чтобы избежать обнаружения и блокировки, а также использует весьма специфические имена пользователей, которые не встречаются в общедоступных дампах данных.


Использование необычных имен пользователей вынуждает исследователей предположить, что эти данные могли быть получены при помощи какой-то уязвимости нулевого дня или же в ходе утечки данных, о которой пока никому не известно.


Пока неясно, кто стоит за этими атаками, но Мартин отметил, что пара обнаруженных IP-адресов связана с русскоязычной хак-группой APT29 (она же Midnight Blizzard, Nobelium и Cozy Bear).

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Компания Cisco опубликовала набор рекомендаций и предупредила клиентов об атаках типа password spray, которые нацелены на службы Remote Access VPN (RAVPN), настроенные на устройствах Cisco Secure Firewall. Судя по всему, эта активность связана с ботнетом Brutus. В Cisco сообщают, что атаки, по всей видимости, нацелены и на другие VPN-сервисы и являются частью разведывательной деятельности неизвестных злоумышленников. В ход password spray атак хакеры пытаются ввести один и тот же пароль в нескольких учетных записях, стремясь войти в систему. В руководстве Cisco перечислены индикаторы компрометации (IoC) этой активности, которые помогут обнаружить атаки и заблокировать их. Например, к таковым относится невозможность установить VPN-соединение с помощью Cisco Secure Client (AnyConnect), когда включен Firewall Posture (HostScan). Еще один признак вредоносной активности — необычно больше количество запросов на аутентификацию, зафиксированное в системных логах. Прочие рекомендации Cisco по защите от этих атак включают: включение ведения журналов на удаленном сервере syslog для улучшения анализа и отслеживания взаимосвязи между инцидентами; использование TCP shun для ручной блокировки вредоносных IP-адресов; настройка ACL для отсеивания неавторизованных публичных IP-адресов при инициировании VPN-сессий; использование аутентификации на основе сертификатов для RAVPN, что является более безопасным методом, чем обычные учетные данные. ИБ-специалист Аарон Мартин (Aaron Martin) полагает, что эта активность и предупреждения Cisco, скорее всего, связаны с новым ботнетом, которому исследователь дал имя Brutus. На дня Мартин опубликовал отчет о Brutus, где описаны методы атак, которые он и его коллега Крис Груб (Chris Grube) наблюдают с 15 марта 2024 года. В отчете отмечается, что в настоящее время ботнет использует около 20 000 IP-адресов по всему миру, которые охватывают различные инфраструктуры, от облачных сервисов до IP-адресов жилых домов. Изначально атаки ботнета были направлены на SSLVPN-решения Fortinet, Palo Alto, SonicWall и Cisco, но теперь они распространились и на веб-приложения, использующие Active Directory для аутентификации. Известно, что Brutus меняет IP-адреса каждые шесть попыток, чтобы избежать обнаружения и блокировки, а также использует весьма специфические имена пользователей, которые не встречаются в общедоступных дампах данных. Использование необычных имен пользователей вынуждает исследователей предположить, что эти данные могли быть получены при помощи какой-то уязвимости нулевого дня или же в ходе утечки данных, о которой пока никому не известно. Пока неясно, кто стоит за этими атаками, но Мартин отметил, что пара обнаруженных IP-адресов связана с русскоязычной хак-группой APT29 (она же Midnight Blizzard, Nobelium и Cozy Bear).
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: