Категория > Новости > Ботнет Brutus брутфорсит VPN-сервисы - «Новости»

Ботнет Brutus брутфорсит VPN-сервисы - «Новости»


31-03-2024, 00:00. Автор: Ryder

Компания Cisco опубликовала набор рекомендаций и предупредила клиентов об атаках типа password spray, которые нацелены на службы Remote Access VPN (RAVPN), настроенные на устройствах Cisco Secure Firewall. Судя по всему, эта активность связана с ботнетом Brutus.


В Cisco сообщают, что атаки, по всей видимости, нацелены и на другие VPN-сервисы и являются частью разведывательной деятельности неизвестных злоумышленников.


В ход password spray атак хакеры пытаются ввести один и тот же пароль в нескольких учетных записях, стремясь войти в систему. В руководстве Cisco перечислены индикаторы компрометации (IoC) этой активности, которые помогут обнаружить атаки и заблокировать их. Например, к таковым относится невозможность установить VPN-соединение с помощью Cisco Secure Client (AnyConnect), когда включен Firewall Posture (HostScan).


Еще один признак вредоносной активности — необычно больше количество запросов на аутентификацию, зафиксированное в системных логах. Прочие рекомендации Cisco по защите от этих атак включают:



  • включение ведения журналов на удаленном сервере syslog для улучшения анализа и отслеживания взаимосвязи между инцидентами;

  • использование TCP shun для ручной блокировки вредоносных IP-адресов;

  • настройка ACL для отсеивания неавторизованных публичных IP-адресов при инициировании VPN-сессий;

  • использование аутентификации на основе сертификатов для RAVPN, что является более безопасным методом, чем обычные учетные данные.


ИБ-специалист Аарон Мартин (Aaron Martin) полагает, что эта активность и предупреждения Cisco, скорее всего, связаны с новым ботнетом, которому исследователь дал имя Brutus.


На дня Мартин опубликовал отчет о Brutus, где описаны методы атак, которые он и его коллега Крис Груб (Chris Grube) наблюдают с 15 марта 2024 года. В отчете отмечается, что в настоящее время ботнет использует около 20 000 IP-адресов по всему миру, которые охватывают различные инфраструктуры, от облачных сервисов до IP-адресов жилых домов.


Изначально атаки ботнета были направлены на SSLVPN-решения Fortinet, Palo Alto, SonicWall и Cisco, но теперь они распространились и на веб-приложения, использующие Active Directory для аутентификации.


Известно, что Brutus меняет IP-адреса каждые шесть попыток, чтобы избежать обнаружения и блокировки, а также использует весьма специфические имена пользователей, которые не встречаются в общедоступных дампах данных.


Использование необычных имен пользователей вынуждает исследователей предположить, что эти данные могли быть получены при помощи какой-то уязвимости нулевого дня или же в ходе утечки данных, о которой пока никому не известно.


Пока неясно, кто стоит за этими атаками, но Мартин отметил, что пара обнаруженных IP-адресов связана с русскоязычной хак-группой APT29 (она же Midnight Blizzard, Nobelium и Cozy Bear).


Перейти обратно к новости