'思科警告針對VPN服務的密碼噴射攻擊'—計算機嗶聲

https://www.bleepingcomputer.com/news/security/cisco-warns-of-password-spraying-attacks-targeting-vpn-services/

思科為客户提供了一系列建議，以減輕針對思科安全防火牆設備上配置的遠程訪問VPN(RAVPN)服務的密碼噴射攻擊。

該公司表示，這些攻擊還針對其他遠程訪問VPN服務，似乎是偵察活動的一部分。

在密碼噴射攻擊期間，攻擊者使用多個帳户嘗試相同的密碼以嘗試登錄。

思科的緩解指南列出了此活動的危害指標(IOC)，以幫助檢測和阻止攻擊。

這包括在啟用防火牆狀態(HostScan)時無法與思科安全客户端(AnyConnect)建立VPN連接。

另一個跡象是系統日誌記錄的身份驗證請求數量異常多。

思科對防禦這些攻擊的建議包括：

安全研究員Aaron Martin告訴BleepingComputer，思科觀察到的活動很可能來自一個他命名為Brutus的未經記錄的惡意軟件僵屍網絡。這種聯繫基於特定的目標範圍和攻擊模式。

Martin發佈了一份關於Brutus僵屍網絡的報告，描述了他和分析師Chris Grube自3月15日以來觀察到的不尋常的攻擊方法。報告指出，該僵屍網絡目前依賴於全球2萬個IP地址，涵蓋從雲服務到住宅IP的各種基礎設施。

Martin觀察到的攻擊最初針對Fortinet、Palo Alto、SonicWall和思科的SSLVPN設備，但現在擴展到也包括使用Active Directory進行身份驗證的Web應用程序。

Brutus每六次嘗試輪換其IP以逃避檢測和阻止，同時它使用在公共數據轉儲中不可用的非常具體的未公開用户名。

攻擊的這一方面引發了人們對這些用户名是如何獲得的擔憂，並可能表明存在未披露的漏洞或利用零日漏洞。

雖然Brutus的運營商尚不清楚，但Martin已經確定了兩個與APT29(午夜暴雪、nobelium、舒適熊)的活動有關的IP，APT29是一個據信為俄羅斯外國情報局(SVR)工作的間諜威脅組織。