GreyNoise prati koordinisanu, automatizovanu kampanju zasnovanu na akreditacijama koja cilja infrastrukturu autentifikacije preduzeća putem VPN-a. Aktivnost je primećena protiv Cisco SSL VPN i Palo Alto Networks GlobalProtect servisa tokom dvodnevnog perioda sredinom decembra.
Aktivnost odražava pokušaje velikog obima skriptovanih prijava, a ne iskorišćavanje ranjivosti. Konzistentna upotreba infrastrukture i vremensko usklađivanje ukazuju na jednu kampanju koja prelazi sa jedne VPN platforme na drugu.
GreyNoise nije primećen dokazi koji povezuju ovu aktivnost sa kampanjom koju je prijavio Cisco Talos ciljajući Cisco Secure Email Gateway i Secure Email and Web Manager.
Aktivnost na Palo Alto Networks GlobalProtect
GreyNoise je primetio veliki, intenzivan skok u automatizovanim pokušajima prijave ciljajući portale Palo Alto Networks GlobalProtect. Aktivnost je generisala oko 1,7 miliona sesija tokom 16-časovnog perioda i bila usmerena ka emuliranim GlobalProtect i PAN-OS profilima kompanije GreyNoise.
Više od 10.000 jedinstvenih IP adresa pokušalo je da se prijavi na portale GlobalProtect 11. decembra.
Aktivnost je ciljala portale GlobalProtect koji su geolocirani pretežno u Sjedinjenim Američkim Državama, Pakistanu i Meksiku. Saobraćaj je uglavnom poticao iz IP prostora povezanog sa provajderom hostinga 3xK GmbH (Nemačka), što ukazuje na centralizovanu, cloud-hosted infrastrukturu umesto distribuiranog ponašanja korisnika.
Primećeno ponašanje
Prijave su pratila uniformni zahtevni obrazac i ponovno su koristile uobičajene kombinacije korisničkog imena i lozinke. Većina posmatranih zahteva imala je isti korisnički agent sličan browseru Firefox, što nije tipično za automatizovane prijavne aktivnosti koje potiču od ovog provajdera.
Konzistentnost korisničkog agenta, strukture zahteva i vremensko usklađivanje sugerišu skriptovanu probu akreditacija dizajniranu da identifikuje izložene ili slabo zaštićene portale GlobalProtect, umesto interaktivnih pokušaja pristupa ili iskorišćavanja ranjivosti.
Ova aktivnost odražava kontinuirani pritisak protiv autentifikacionih krajnjih tačaka VPN-a preduzeća, uzorak koji je GreyNoise viđao ponavljano tokom perioda pojačane aktivnosti napadača. Ponašanje je značajno zbog naglog porasta saobraćaja u kratkom periodu, što potencijalno odražava pokretanje nove automatizovane kampanje ili pokušaj inventarizacije izloženih instanci GlobalProtect-a u velikoj meri.
Cisco SSL VPN aktivnost
12. decembra, GreyNoise je primetio oštar porast prilika za brutalne pokušaje prijave ciljajući Cisco SSL VPN krajnje tačke. Dnevne jedinstvene napadajuće IP adrese su porasle sa tipične osnove od manje od 200 na 1.273 IP adrese, što predstavlja značajno odstupanje od normalne aktivnosti. Većina ovog saobraćaja ciljala je senzore fasade kompanije GreyNoise – sisteme nezavisne od dobavljača koji osluškuju na mnogim portovima i time impliciraju priliku umesto ciljane aktivnosti.
Analiza pokazuje da je ova aktivnost povezana sa infrastrukturom i alatima prethodno primećenih pokušaja prijave na Palo Alto GlobalProtect tokom prethodne nedelje. Saobraćaj Cisco SSL VPN deli isti TCP otisak prsta (GreyNoise korisnici, molimo proverite inbox za obaveštenje o obaveštajnom sažetku koji otkriva puni potpis) i potiče iz 3xK GmbH IP prostora – istog provajdera hostinga koji je iskorišćen za pokretanje talasa prijava na Palo Alto.
Dominantni korisnički agent tokom pokušaja Cisco SSL VPN bio je:
Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Ovaj korisnički agent nije tipičan za brutalne pokušaje prijave na Cisco SSL VPN izvora iz 3xK infrastrukture i označava prvi put u proteklih 12 nedelja da su IP adrese hostovane od strane 3xK-a bile raspoređene u velikom obimu protiv portala Cisco SSL VPN-a.
Posmatrani zahtevi ukazuju na automatizovane pokušaje autentifikacije zasnovane na akreditacijama umesto iskorišćavanja ranjivosti. Primeri payloada prate standardne SSL VPN procedure prijave, uključujući rukovanje CSRF tokenima i parametrizovana polja za korisničko ime/lozinku, u skladu sa skriptovanim prskanjem lozinki ili punjenjem akreditacija.
Preporučene akcije
Profesionalci za bezbednost mogu preduzeti značajne korake da se odbrane od ove aktivnosti:
– Higijena lozinke/MFA: Osigurajte da su svi sistemi opremljeni sa što većim nivoom bezbednosti.