A Cisco egy nagyszabású, a Cisco, CheckPoint, Fortinet, SonicWall és Ubiquiti eszközök VPN és SSH szolgáltatásait célzó, a hitelesítő adatok megszerzésére irányuló kampányra figyelmeztet.
A Cisco Talos szerint az új brute force kampány az érvényes és általános, konkrét szervezetekhez kapcsolódó alkalmazotti felhasználónevek keverékét használja.
A brute force támadás során egy fiókba vagy eszközre számos felhasználónév és jelszó felhasználásával próbálnak bejelentkezni, amíg meg nem találják a megfelelő kombinációt. Ha már hozzáférnek a megfelelő hitelesítő adatokhoz, a támadók felhasználhatják azokat egy eszköz eltérítésére vagy a belső hálózathoz való hozzáférés megszerzésére.
A kutatók szerint a támadások 2024. március 18-án kezdődtek. Minden támadás TOR kilépési pontokból, proxykból és más anonimizálási eszközökből indul, amelyeket a fenyegető szereplők a zárolások megkerülésére használnak.
A sikeres támadások jogosulatlan hálózati hozzáférést, fióklezárást vagy szolgáltatásmegtagadási állapotokat eredményezhetnek.
A támadások végrehajtásához használt szolgáltatások között szerepel a TOR, a VPN Gate, az IPIDEA Proxy, a BigMama Proxy, a Space Proxies, a Nexus Proxy és a Proxy Rack.
A Cisco kutatóinak jelentése szerint a következő szolgáltatásokat veszi aktívan célba a kampány:
- Cisco Secure Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Miktrotik
- Draytek
- Ubiquiti
A rosszindulatú tevékenység nem konkrét iparágakra vagy régiókra összpontosít, ami véletlenszerű támadásokra utal.
A Talos csapata a GitHubon megosztotta a tevékenységre vonatkozó kompromittáló jelek teljes listáját, támadók IP címeit, valamint a brute force támadásokhoz használt felhasználónevek és jelszavak listáját.