Ботнет Brutus брутфорсит VPN-сервисы - «Новости» » Интернет технологии
sitename
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
 Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
 Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
 «Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
«Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
 Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
 Уязвимость нулевого дня в Windows приводит к утечке NTLM-хешей - «Новости»
Уязвимость нулевого дня в Windows приводит к утечке NTLM-хешей - «Новости»
 Shedding Zmiy использует руткит Puma для атак на российские организации - «Новости»
Shedding Zmiy использует руткит Puma для атак на российские организации - «Новости»
 Шпионская хак-группа RedCurl создала собственное вымогательское ПО - «Новости»
Шпионская хак-группа RedCurl создала собственное вымогательское ПО - «Новости»
 Mozilla предупреждает: Firefox для Windows уязвим перед побегом из песочницы - «Новости»
Mozilla предупреждает: Firefox для Windows уязвим перед побегом из песочницы - «Новости»
 ИБ-специалисты взломали инфраструктуру вымогательской группы BlackLock - «Новости»
ИБ-специалисты взломали инфраструктуру вымогательской группы BlackLock - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Ботнет Brutus брутфорсит VPN-сервисы - «Новости»

✔Ботнет Brutus брутфорсит VPN-сервисы - «Новости»

01 апреля 2024 435 Новости / Преимущества стилей / Отступы и поля / Типы носителей / Заработок / Добавления стилей 0

Компания Cisco опубликовала набор рекомендаций и предупредила клиентов об атаках типа password spray, которые нацелены на службы Remote Access VPN (RAVPN), настроенные на устройствах Cisco Secure Firewall. Судя по всему, эта активность связана с ботнетом Brutus.


В Cisco сообщают, что атаки, по всей видимости, нацелены и на другие VPN-сервисы и являются частью разведывательной деятельности неизвестных злоумышленников.


В ход password spray атак хакеры пытаются ввести один и тот же пароль в нескольких учетных записях, стремясь войти в систему. В руководстве Cisco перечислены индикаторы компрометации (IoC) этой активности, которые помогут обнаружить атаки и заблокировать их. Например, к таковым относится невозможность установить VPN-соединение с помощью Cisco Secure Client (AnyConnect), когда включен Firewall Posture (HostScan).


Еще один признак вредоносной активности — необычно больше количество запросов на аутентификацию, зафиксированное в системных логах. Прочие рекомендации Cisco по защите от этих атак включают:



  • включение ведения журналов на удаленном сервере syslog для улучшения анализа и отслеживания взаимосвязи между инцидентами;

  • использование TCP shun для ручной блокировки вредоносных IP-адресов;

  • настройка ACL для отсеивания неавторизованных публичных IP-адресов при инициировании VPN-сессий;

  • использование аутентификации на основе сертификатов для RAVPN, что является более безопасным методом, чем обычные учетные данные.


ИБ-специалист Аарон Мартин (Aaron Martin) полагает, что эта активность и предупреждения Cisco, скорее всего, связаны с новым ботнетом, которому исследователь дал имя Brutus.


На дня Мартин опубликовал отчет о Brutus, где описаны методы атак, которые он и его коллега Крис Груб (Chris Grube) наблюдают с 15 марта 2024 года. В отчете отмечается, что в настоящее время ботнет использует около 20 000 IP-адресов по всему миру, которые охватывают различные инфраструктуры, от облачных сервисов до IP-адресов жилых домов.


Изначально атаки ботнета были направлены на SSLVPN-решения Fortinet, Palo Alto, SonicWall и Cisco, но теперь они распространились и на веб-приложения, использующие Active Directory для аутентификации.


Известно, что Brutus меняет IP-адреса каждые шесть попыток, чтобы избежать обнаружения и блокировки, а также использует весьма специфические имена пользователей, которые не встречаются в общедоступных дампах данных.


Использование необычных имен пользователей вынуждает исследователей предположить, что эти данные могли быть получены при помощи какой-то уязвимости нулевого дня или же в ходе утечки данных, о которой пока никому не известно.


Пока неясно, кто стоит за этими атаками, но Мартин отметил, что пара обнаруженных IP-адресов связана с русскоязычной хак-группой APT29 (она же Midnight Blizzard, Nobelium и Cozy Bear).

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Компания Cisco опубликовала набор рекомендаций и предупредила клиентов об атаках типа password spray, которые нацелены на службы Remote Access VPN (RAVPN), настроенные на устройствах Cisco Secure Firewall. Судя по всему, эта активность связана с ботнетом Brutus. В Cisco сообщают, что атаки, по всей видимости, нацелены и на другие VPN-сервисы и являются частью разведывательной деятельности неизвестных злоумышленников. В ход password spray атак хакеры пытаются ввести один и тот же пароль в нескольких учетных записях, стремясь войти в систему. В руководстве Cisco перечислены индикаторы компрометации (IoC) этой активности, которые помогут обнаружить атаки и заблокировать их. Например, к таковым относится невозможность установить VPN-соединение с помощью Cisco Secure Client (AnyConnect), когда включен Firewall Posture (HostScan). Еще один признак вредоносной активности — необычно больше количество запросов на аутентификацию, зафиксированное в системных логах. Прочие рекомендации Cisco по защите от этих атак включают: включение ведения журналов на удаленном сервере syslog для улучшения анализа и отслеживания взаимосвязи между инцидентами; использование TCP shun для ручной блокировки вредоносных IP-адресов; настройка ACL для отсеивания неавторизованных публичных IP-адресов при инициировании VPN-сессий; использование аутентификации на основе сертификатов для RAVPN, что является более безопасным методом, чем обычные учетные данные. ИБ-специалист Аарон Мартин (Aaron Martin) полагает, что эта активность и предупреждения Cisco, скорее всего, связаны с новым ботнетом, которому исследователь дал имя Brutus. На дня Мартин опубликовал отчет о Brutus, где описаны методы атак, которые он и его коллега Крис Груб (Chris Grube) наблюдают с 15 марта 2024 года. В отчете отмечается, что в настоящее время ботнет использует около 20 000 IP-адресов по всему миру, которые охватывают различные инфраструктуры, от облачных сервисов до IP-адресов жилых домов. Изначально атаки ботнета были направлены на SSLVPN-решения Fortinet, Palo Alto, SonicWall и Cisco, но теперь они распространились и на веб-приложения, использующие Active Directory для аутентификации. Известно, что Brutus меняет IP-адреса каждые шесть попыток, чтобы избежать обнаружения и блокировки, а также использует весьма специфические имена пользователей, которые не встречаются в общедоступных дампах данных. Использование необычных имен пользователей вынуждает исследователей предположить, что эти данные могли быть получены при помощи какой-то уязвимости нулевого дня или же в ходе утечки данных, о которой пока никому не известно. Пока неясно, кто стоит за этими атаками, но Мартин отметил, что пара обнаруженных IP-адресов связана с русскоязычной хак-группой APT29 (она же Midnight Blizzard, Nobelium и Cozy Bear).
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: