Ботнет Brutus брутфорсит VPN-сервисы - «Новости» » Интернет технологии
sitename
«Ростех» начал поставки серверов и обновлённого интерконнекта «Ангара» для отечественных суперкомпьютеров / ServerNews - «Новости сети»
«Ростех» начал поставки серверов и обновлённого интерконнекта «Ангара» для отечественных суперкомпьютеров / ServerNews - «Новости сети»
Открыто, входите: более 80 тыс. межсетевых экранов Palo Alto Networks содержат критическую уязвимость нулевого дня / ServerNews - «Новости сети»
Открыто, входите: более 80 тыс. межсетевых экранов Palo Alto Networks содержат критическую уязвимость нулевого дня / ServerNews - «Новости сети»
Петабайт на колёсиках: Fujifilm выпустила автономное ленточное хранилище Kangaroo / ServerNews - «Новости сети»
Петабайт на колёсиках: Fujifilm выпустила автономное ленточное хранилище Kangaroo / ServerNews - «Новости сети»
Бизнес по созданию тематического каталога. - «Заработок в интернете»
Бизнес по созданию тематического каталога. - «Заработок в интернете»
Как заработать в Орифлейм через интернет? - «Заработок в интернете»
Как заработать в Орифлейм через интернет? - «Заработок в интернете»
Социальные закладки интернета для увеличения посещаемости. - «Заработок в интернете»
Социальные закладки интернета для увеличения посещаемости. - «Заработок в интернете»
Как больше получить денег за отзывы. - «Заработок в интернете»
Как больше получить денег за отзывы. - «Заработок в интернете»
Как заработать на партнерке от интернет — магазина подарков - «Заработок в интернете»
Как заработать на партнерке от интернет — магазина подарков - «Заработок в интернете»
Microsoft патчит 150 уязвимостей, включая две 0-day - «Новости»
Microsoft патчит 150 уязвимостей, включая две 0-day - «Новости»
Через репозитории на GitHub распространяется малварь Keyzetsu - «Новости»
Через репозитории на GitHub распространяется малварь Keyzetsu - «Новости»

Компания Cisco опубликовала набор рекомендаций и предупредила клиентов об атаках типа password spray, которые нацелены на службы Remote Access VPN (RAVPN), настроенные на устройствах Cisco Secure Firewall. Судя по всему, эта активность связана с ботнетом Brutus.


В Cisco сообщают, что атаки, по всей видимости, нацелены и на другие VPN-сервисы и являются частью разведывательной деятельности неизвестных злоумышленников.


В ход password spray атак хакеры пытаются ввести один и тот же пароль в нескольких учетных записях, стремясь войти в систему. В руководстве Cisco перечислены индикаторы компрометации (IoC) этой активности, которые помогут обнаружить атаки и заблокировать их. Например, к таковым относится невозможность установить VPN-соединение с помощью Cisco Secure Client (AnyConnect), когда включен Firewall Posture (HostScan).


Еще один признак вредоносной активности — необычно больше количество запросов на аутентификацию, зафиксированное в системных логах. Прочие рекомендации Cisco по защите от этих атак включают:



  • включение ведения журналов на удаленном сервере syslog для улучшения анализа и отслеживания взаимосвязи между инцидентами;

  • использование TCP shun для ручной блокировки вредоносных IP-адресов;

  • настройка ACL для отсеивания неавторизованных публичных IP-адресов при инициировании VPN-сессий;

  • использование аутентификации на основе сертификатов для RAVPN, что является более безопасным методом, чем обычные учетные данные.


ИБ-специалист Аарон Мартин (Aaron Martin) полагает, что эта активность и предупреждения Cisco, скорее всего, связаны с новым ботнетом, которому исследователь дал имя Brutus.


На дня Мартин опубликовал отчет о Brutus, где описаны методы атак, которые он и его коллега Крис Груб (Chris Grube) наблюдают с 15 марта 2024 года. В отчете отмечается, что в настоящее время ботнет использует около 20 000 IP-адресов по всему миру, которые охватывают различные инфраструктуры, от облачных сервисов до IP-адресов жилых домов.


Изначально атаки ботнета были направлены на SSLVPN-решения Fortinet, Palo Alto, SonicWall и Cisco, но теперь они распространились и на веб-приложения, использующие Active Directory для аутентификации.


Известно, что Brutus меняет IP-адреса каждые шесть попыток, чтобы избежать обнаружения и блокировки, а также использует весьма специфические имена пользователей, которые не встречаются в общедоступных дампах данных.


Использование необычных имен пользователей вынуждает исследователей предположить, что эти данные могли быть получены при помощи какой-то уязвимости нулевого дня или же в ходе утечки данных, о которой пока никому не известно.


Пока неясно, кто стоит за этими атаками, но Мартин отметил, что пара обнаруженных IP-адресов связана с русскоязычной хак-группой APT29 (она же Midnight Blizzard, Nobelium и Cozy Bear).


Компания Cisco опубликовала набор рекомендаций и предупредила клиентов об атаках типа password spray, которые нацелены на службы Remote Access VPN (RAVPN), настроенные на устройствах Cisco Secure Firewall. Судя по всему, эта активность связана с ботнетом Brutus. В Cisco сообщают, что атаки, по всей видимости, нацелены и на другие VPN-сервисы и являются частью разведывательной деятельности неизвестных злоумышленников. В ход password spray атак хакеры пытаются ввести один и тот же пароль в нескольких учетных записях, стремясь войти в систему. В руководстве Cisco перечислены индикаторы компрометации (IoC) этой активности, которые помогут обнаружить атаки и заблокировать их. Например, к таковым относится невозможность установить VPN-соединение с помощью Cisco Secure Client (AnyConnect), когда включен Firewall Posture (HostScan). Еще один признак вредоносной активности — необычно больше количество запросов на аутентификацию, зафиксированное в системных логах. Прочие рекомендации Cisco по защите от этих атак включают: включение ведения журналов на удаленном сервере syslog для улучшения анализа и отслеживания взаимосвязи между инцидентами; использование TCP shun для ручной блокировки вредоносных IP-адресов; настройка ACL для отсеивания неавторизованных публичных IP-адресов при инициировании VPN-сессий; использование аутентификации на основе сертификатов для RAVPN, что является более безопасным методом, чем обычные учетные данные. ИБ-специалист Аарон Мартин (Aaron Martin) полагает, что эта активность и предупреждения Cisco, скорее всего, связаны с новым ботнетом, которому исследователь дал имя Brutus. На дня Мартин опубликовал отчет о Brutus, где описаны методы атак, которые он и его коллега Крис Груб (Chris Grube) наблюдают с 15 марта 2024 года. В отчете отмечается, что в настоящее время ботнет использует около 20 000 IP-адресов по всему миру, которые охватывают различные инфраструктуры, от облачных сервисов до IP-адресов жилых домов. Изначально атаки ботнета были направлены на SSLVPN-решения Fortinet, Palo Alto, SonicWall и Cisco, но теперь они распространились и на веб-приложения, использующие Active Directory для аутентификации. Известно, что Brutus меняет IP-адреса каждые шесть попыток, чтобы избежать обнаружения и блокировки, а также использует весьма специфические имена пользователей, которые не встречаются в общедоступных дампах данных. Использование необычных имен пользователей вынуждает исследователей предположить, что эти данные могли быть получены при помощи какой-то уязвимости нулевого дня или же в ходе утечки данных, о которой пока никому не известно. Пока неясно, кто стоит за этими атаками, но Мартин отметил, что пара обнаруженных IP-адресов связана с русскоязычной хак-группой APT29 (она же Midnight Blizzard, Nobelium и Cozy Bear).
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Комментарии для сайта Cackle
Войти через:
Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика