Cisco は、世界中の Cisco、CheckPoint、Fortinet、SonicWall、および Ubiquiti デバイス上の VPN および SSH サービスを標的にした大規模なクレデンシャル総当り攻撃キャンペーンについて警告しています。
ブルートフォース攻撃とは、正しい組み合わせが見つかるまで、多くのユーザー名とパスワードを使用してアカウントまたはデバイスへのログインを試みるプロセスです。いったん正しい認証情報にアクセスできれば、脅威者はそれを使ってデバイスを乗っ取ったり、内部ネットワークにアクセスしたりすることができる。
Cisco Talosによると、この新しい総当たりキャンペーンでは、特定の組織に関連する有効な従業員ユーザー名と一般的な従業員ユーザー名が混在して使用されている。
研究者によると、攻撃は2024年3月18日に開始され、すべての攻撃はTORの出口ノード、その他のさまざまな匿名化ツールやプロキシから発信されており、脅威の主体はブロックを回避するためにこれらを使用しています。
「標的の環境によっては、この種の攻撃が成功すると、不正なネットワークアクセス、アカウントのロックアウト、サービス拒否状態に陥る可能性がある」とCisco Talosのレポートは警告している。
「これらの攻撃に関連するトラフィックは時間とともに増加しており、今後も増加し続ける可能性が高い。
攻撃に使用されているサービスには、TOR、VPN Gate、IPIDEA Proxy、BigMama Proxy、Space Proxies、Nexus Proxy、Proxy Rackなどがある。
Ciscoの研究者によると、このキャンペーンでは以下のサービスが積極的に標的になっているという:
- Cisco Secure Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD ウェブサービス
- ミクトロティック
- Draytek
- ユビキティ
この悪意のある活動は、特定の業界や地域に焦点を当てたものではなく、ランダムで日和見的な攻撃という広範な戦略を示唆しています。
Talosチームは、ブロックリストに含めるための攻撃者のIPアドレスや、ブルートフォース攻撃に使用されたユーザー名とパスワードのリストなど、この活動に関する侵害の指標(IoC)の完全なリストをGitHubで共有しています。
以前の攻撃とのリンクの可能性
2024年3月下旬、Ciscoは、Cisco Secure Firewallデバイスに設定されたリモートアクセスVPN(RAVPN)サービスを標的としたパスワードスプレー攻撃の波について警告した。
パスワード・スプレー攻撃は、脆弱なパスワード・ポリシーに対してより効果的であり、大規模な辞書を使った総当たり攻撃ではなく、よく使われるパスワードの小さなセットを使って多くのユーザー名をターゲットにします。
セキュリティ研究者のアーロン・マーティンは、観測された攻撃パターンと標的の範囲から、これらの攻撃は「Brutus」と呼ばれるマルウェア・ボットネットによるものだと考えている。
シスコが今日警告している攻撃が、以前に見られた攻撃の続きであるかどうかは、まだ検証されていない。
この2つの活動が関連しているかどうかを明らかにするためにシスコに問い合わせたが、コメントはすぐに得られなかった。
Comments