Ботнет Brutus брутфорсит VPN-сервисы - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»

Компания Cisco опубликовала набор рекомендаций и предупредила клиентов об атаках типа password spray, которые нацелены на службы Remote Access VPN (RAVPN), настроенные на устройствах Cisco Secure Firewall. Судя по всему, эта активность связана с ботнетом Brutus.


В Cisco сообщают, что атаки, по всей видимости, нацелены и на другие VPN-сервисы и являются частью разведывательной деятельности неизвестных злоумышленников.


В ход password spray атак хакеры пытаются ввести один и тот же пароль в нескольких учетных записях, стремясь войти в систему. В руководстве Cisco перечислены индикаторы компрометации (IoC) этой активности, которые помогут обнаружить атаки и заблокировать их. Например, к таковым относится невозможность установить VPN-соединение с помощью Cisco Secure Client (AnyConnect), когда включен Firewall Posture (HostScan).


Еще один признак вредоносной активности — необычно больше количество запросов на аутентификацию, зафиксированное в системных логах. Прочие рекомендации Cisco по защите от этих атак включают:



  • включение ведения журналов на удаленном сервере syslog для улучшения анализа и отслеживания взаимосвязи между инцидентами;

  • использование TCP shun для ручной блокировки вредоносных IP-адресов;

  • настройка ACL для отсеивания неавторизованных публичных IP-адресов при инициировании VPN-сессий;

  • использование аутентификации на основе сертификатов для RAVPN, что является более безопасным методом, чем обычные учетные данные.


ИБ-специалист Аарон Мартин (Aaron Martin) полагает, что эта активность и предупреждения Cisco, скорее всего, связаны с новым ботнетом, которому исследователь дал имя Brutus.


На дня Мартин опубликовал отчет о Brutus, где описаны методы атак, которые он и его коллега Крис Груб (Chris Grube) наблюдают с 15 марта 2024 года. В отчете отмечается, что в настоящее время ботнет использует около 20 000 IP-адресов по всему миру, которые охватывают различные инфраструктуры, от облачных сервисов до IP-адресов жилых домов.


Изначально атаки ботнета были направлены на SSLVPN-решения Fortinet, Palo Alto, SonicWall и Cisco, но теперь они распространились и на веб-приложения, использующие Active Directory для аутентификации.


Известно, что Brutus меняет IP-адреса каждые шесть попыток, чтобы избежать обнаружения и блокировки, а также использует весьма специфические имена пользователей, которые не встречаются в общедоступных дампах данных.


Использование необычных имен пользователей вынуждает исследователей предположить, что эти данные могли быть получены при помощи какой-то уязвимости нулевого дня или же в ходе утечки данных, о которой пока никому не известно.


Пока неясно, кто стоит за этими атаками, но Мартин отметил, что пара обнаруженных IP-адресов связана с русскоязычной хак-группой APT29 (она же Midnight Blizzard, Nobelium и Cozy Bear).

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Компания Cisco опубликовала набор рекомендаций и предупредила клиентов об атаках типа password spray, которые нацелены на службы Remote Access VPN (RAVPN), настроенные на устройствах Cisco Secure Firewall. Судя по всему, эта активность связана с ботнетом Brutus. В Cisco сообщают, что атаки, по всей видимости, нацелены и на другие VPN-сервисы и являются частью разведывательной деятельности неизвестных злоумышленников. В ход password spray атак хакеры пытаются ввести один и тот же пароль в нескольких учетных записях, стремясь войти в систему. В руководстве Cisco перечислены индикаторы компрометации (IoC) этой активности, которые помогут обнаружить атаки и заблокировать их. Например, к таковым относится невозможность установить VPN-соединение с помощью Cisco Secure Client (AnyConnect), когда включен Firewall Posture (HostScan). Еще один признак вредоносной активности — необычно больше количество запросов на аутентификацию, зафиксированное в системных логах. Прочие рекомендации Cisco по защите от этих атак включают: включение ведения журналов на удаленном сервере syslog для улучшения анализа и отслеживания взаимосвязи между инцидентами; использование TCP shun для ручной блокировки вредоносных IP-адресов; настройка ACL для отсеивания неавторизованных публичных IP-адресов при инициировании VPN-сессий; использование аутентификации на основе сертификатов для RAVPN, что является более безопасным методом, чем обычные учетные данные. ИБ-специалист Аарон Мартин (Aaron Martin) полагает, что эта активность и предупреждения Cisco, скорее всего, связаны с новым ботнетом, которому исследователь дал имя Brutus. На дня Мартин опубликовал отчет о Brutus, где описаны методы атак, которые он и его коллега Крис Груб (Chris Grube) наблюдают с 15 марта 2024 года. В отчете отмечается, что в настоящее время ботнет использует около 20 000 IP-адресов по всему миру, которые охватывают различные инфраструктуры, от облачных сервисов до IP-адресов жилых домов. Изначально атаки ботнета были направлены на SSLVPN-решения Fortinet, Palo Alto, SonicWall и Cisco, но теперь они распространились и на веб-приложения, использующие Active Directory для аутентификации. Известно, что Brutus меняет IP-адреса каждые шесть попыток, чтобы избежать обнаружения и блокировки, а также использует весьма специфические имена пользователей, которые не встречаются в общедоступных дампах данных. Использование необычных имен пользователей вынуждает исследователей предположить, что эти данные могли быть получены при помощи какой-то уязвимости нулевого дня или же в ходе утечки данных, о которой пока никому не известно. Пока неясно, кто стоит за этими атаками, но Мартин отметил, что пара обнаруженных IP-адресов связана с русскоязычной хак-группой APT29 (она же Midnight Blizzard, Nobelium и Cozy Bear).
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: