Tấn công password spray vào RAVPN
RAVPN thường áp dụng cho các nhân viên và người dùng làm việc lưu động hay làm việc ở nhà muốn kết nối vào mạng công ty một cách an toàn. RAVPN còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server. VPN hoạt động nhờ vào sự kết hợp các giao thức đóng gói PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS.
Cisco nhận định các cuộc tấn công cũng nhắm vào các dịch vụ RAVPN là một phần của chuỗi hoạt động trinh sát mạng mục tiêu. Trong cuộc tấn công password spray, tin tặc thử cùng một mật khẩu với nhiều tài khoản để cố gắng đăng nhập.
Hướng dẫn của Cisco liệt kê các chỉ báo về sự xâm phạm (IoC) cho hoạt động này nhằm giúp phát hiện các cuộc tấn công và ngăn chặn chúng. Điều này bao gồm việc không thể thiết lập kết nối VPN với Cisco Secure Client (AnyConnect) khi bật tính năng Firewall Posture (HostScan).Một dấu hiệu khác là số lượng yêu cầu xác thực bất thường được ghi lại bởi nhật ký hệ thống.
Dưới đây là các khuyến nghị của Cisco để chống lại các cuộc tấn công password spray, bao gồm:
- Cho phép ghi nhật ký vào máy chủ nhật ký hệ thống từ xa để cải thiện khả năng phân tích sự cố.
- Bảo vệ cấu hình RAVPN bằng cách trỏ các cấu hình kết nối mặc định không được sử dụng đến máy chủ AAA sinkhole để ngăn chặn truy cập trái phép.
- Tận dụng TCP shun để chặn IP độc hại theo cách thủ công.
- Cấu hình ACL control-plane để lọc các địa chỉ IP công cộng trái phép khỏi việc bắt đầu các phiên VPN.
- Sử dụng xác thực dựa trên chứng chỉ cho RAVPN, cung cấp phương thức xác thực an toàn hơn so với thông tin xác thực truyền thống.
Liên kết tới mạng botnet Brutus
Nhà nghiên cứu bảo mật Aaron Martin cho rằng hoạt động mà Cisco quan sát được có thể là từ một mạng botnet có tên là Brutus. Kết nối này dựa trên phạm vi nhắm mục tiêu cụ thể và kiểu tấn công của chúng.
Martin đã công bố một báo cáo về botnet Brutus mô tả các phương thức tấn công bất thường mà ông và nhà phân tích Chris Grube đã quan sát được kể từ ngày 15/3/2024. Báo cáo lưu ý rằng botnet này với trên 20.000 địa chỉ IP trên toàn thế giới, trải rộng trên nhiều cơ sở hạ tầng khác nhau từ dịch vụ đám mây đến IP Residential.
Các cuộc tấn công mà Martin phát hiện ban đầu nhắm vào các thiết bị SSLVPN từ Fortinet, Palo Alto, SonicWall và Cisco, nhưng hiện đã mở rộng sang cả các ứng dụng web sử dụng Active Directory để xác thực.
Mặc dù chưa rõ thông tin các nhà phát triển của Brutus, Martin đã xác định được hai IP có liên quan đến các hoạt động trước đây của nhóm tin tặc APT29 (Midnight Blizzard, NOBELIUM, Cosy Bear), một nhóm tác nhân đe dọa được cho là có liên hệ với Cơ quan Tình báo đối ngoại Nga (SVR).
Nguyễn Hà Phương
09:00 | 01/02/2024
15:00 | 23/04/2024
13:00 | 23/03/2023
10:00 | 26/04/2024
09:00 | 16/01/2023
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
09:00 | 09/01/2024
Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.
14:00 | 19/12/2023
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
14:00 | 24/04/2024