Brute force támadásokra figyelmeztet a Cisco

A Cisco egy nagyszabású, a Cisco, CheckPoint, Fortinet, SonicWall és Ubiquiti eszközök VPN és SSH szolgáltatásait célzó, a hitelesítő adatok megszerzésére irányuló kampányra figyelmeztet.

A Cisco Talos szerint az új brute force kampány az érvényes és általános, konkrét szervezetekhez kapcsolódó alkalmazotti felhasználónevek keverékét használja.

A brute force támadás során egy fiókba vagy eszközre számos felhasználónév és jelszó felhasználásával próbálnak bejelentkezni, amíg meg nem találják a megfelelő kombinációt. Ha már hozzáférnek a megfelelő hitelesítő adatokhoz, a támadók felhasználhatják azokat egy eszköz eltérítésére vagy a belső hálózathoz való hozzáférés megszerzésére.

A kutatók szerint a támadások 2024. március 18-án kezdődtek. Minden támadás TOR kilépési pontokból, proxykból és más anonimizálási eszközökből indul, amelyeket a fenyegető szereplők a zárolások megkerülésére használnak.

A sikeres támadások jogosulatlan hálózati hozzáférést, fióklezárást vagy szolgáltatásmegtagadási állapotokat eredményezhetnek.

A támadások végrehajtásához használt szolgáltatások között szerepel a TOR, a VPN Gate, az IPIDEA Proxy, a BigMama Proxy, a Space Proxies, a Nexus Proxy és a Proxy Rack.

A Cisco kutatóinak jelentése szerint a következő szolgáltatásokat veszi aktívan célba a kampány:

  • Cisco Secure Firewall VPN
  • Checkpoint VPN
  • Fortinet VPN
  • SonicWall VPN
  • RD Web Services
  • Miktrotik
  • Draytek
  • Ubiquiti

A rosszindulatú tevékenység nem konkrét iparágakra vagy régiókra összpontosít, ami véletlenszerű támadásokra utal.

A Talos csapata a GitHubon megosztotta a tevékenységre vonatkozó kompromittáló jelek teljes listáját, támadók IP címeit, valamint a brute force támadásokhoz használt felhasználónevek és jelszavak listáját.

(bleepingcomputer.com)