Tấn công password spray vào RAVPN
RAVPN thường áp dụng cho các nhân viên và người dùng làm việc lưu động hay làm việc ở nhà muốn kết nối vào mạng công ty một cách an toàn. RAVPN còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server. VPN hoạt động nhờ vào sự kết hợp các giao thức đóng gói PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS.
Cisco nhận định các cuộc tấn công cũng nhắm vào các dịch vụ RAVPN là một phần của chuỗi hoạt động trinh sát mạng mục tiêu. Trong cuộc tấn công password spray, tin tặc thử cùng một mật khẩu với nhiều tài khoản để cố gắng đăng nhập.
Hướng dẫn của Cisco liệt kê các chỉ báo về sự xâm phạm (IoC) cho hoạt động này nhằm giúp phát hiện các cuộc tấn công và ngăn chặn chúng. Điều này bao gồm việc không thể thiết lập kết nối VPN với Cisco Secure Client (AnyConnect) khi bật tính năng Firewall Posture (HostScan).Một dấu hiệu khác là số lượng yêu cầu xác thực bất thường được ghi lại bởi nhật ký hệ thống.
Dưới đây là các khuyến nghị của Cisco để chống lại các cuộc tấn công password spray, bao gồm:
- Cho phép ghi nhật ký vào máy chủ nhật ký hệ thống từ xa để cải thiện khả năng phân tích sự cố.
- Bảo vệ cấu hình RAVPN bằng cách trỏ các cấu hình kết nối mặc định không được sử dụng đến máy chủ AAA sinkhole để ngăn chặn truy cập trái phép.
- Tận dụng TCP shun để chặn IP độc hại theo cách thủ công.
- Cấu hình ACL control-plane để lọc các địa chỉ IP công cộng trái phép khỏi việc bắt đầu các phiên VPN.
- Sử dụng xác thực dựa trên chứng chỉ cho RAVPN, cung cấp phương thức xác thực an toàn hơn so với thông tin xác thực truyền thống.
Liên kết tới mạng botnet Brutus
Nhà nghiên cứu bảo mật Aaron Martin cho rằng hoạt động mà Cisco quan sát được có thể là từ một mạng botnet có tên là Brutus. Kết nối này dựa trên phạm vi nhắm mục tiêu cụ thể và kiểu tấn công của chúng.
Martin đã công bố một báo cáo về botnet Brutus mô tả các phương thức tấn công bất thường mà ông và nhà phân tích Chris Grube đã quan sát được kể từ ngày 15/3/2024. Báo cáo lưu ý rằng botnet này với trên 20.000 địa chỉ IP trên toàn thế giới, trải rộng trên nhiều cơ sở hạ tầng khác nhau từ dịch vụ đám mây đến IP Residential.
Các cuộc tấn công mà Martin phát hiện ban đầu nhắm vào các thiết bị SSLVPN từ Fortinet, Palo Alto, SonicWall và Cisco, nhưng hiện đã mở rộng sang cả các ứng dụng web sử dụng Active Directory để xác thực.
Mặc dù chưa rõ thông tin các nhà phát triển của Brutus, Martin đã xác định được hai IP có liên quan đến các hoạt động trước đây của nhóm tin tặc APT29 (Midnight Blizzard, NOBELIUM, Cosy Bear), một nhóm tác nhân đe dọa được cho là có liên hệ với Cơ quan Tình báo đối ngoại Nga (SVR).
Nguyễn Hà Phương
09:00 | 01/02/2024
15:00 | 23/04/2024
13:00 | 23/03/2023
10:00 | 26/04/2024
09:00 | 16/01/2023
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
16:00 | 18/12/2023
Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 28/04/2024