Tấn công password spray vào RAVPN
RAVPN thường áp dụng cho các nhân viên và người dùng làm việc lưu động hay làm việc ở nhà muốn kết nối vào mạng công ty một cách an toàn. RAVPN còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server. VPN hoạt động nhờ vào sự kết hợp các giao thức đóng gói PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS.
Cisco nhận định các cuộc tấn công cũng nhắm vào các dịch vụ RAVPN là một phần của chuỗi hoạt động trinh sát mạng mục tiêu. Trong cuộc tấn công password spray, tin tặc thử cùng một mật khẩu với nhiều tài khoản để cố gắng đăng nhập.
Hướng dẫn của Cisco liệt kê các chỉ báo về sự xâm phạm (IoC) cho hoạt động này nhằm giúp phát hiện các cuộc tấn công và ngăn chặn chúng. Điều này bao gồm việc không thể thiết lập kết nối VPN với Cisco Secure Client (AnyConnect) khi bật tính năng Firewall Posture (HostScan).Một dấu hiệu khác là số lượng yêu cầu xác thực bất thường được ghi lại bởi nhật ký hệ thống.
Dưới đây là các khuyến nghị của Cisco để chống lại các cuộc tấn công password spray, bao gồm:
- Cho phép ghi nhật ký vào máy chủ nhật ký hệ thống từ xa để cải thiện khả năng phân tích sự cố.
- Bảo vệ cấu hình RAVPN bằng cách trỏ các cấu hình kết nối mặc định không được sử dụng đến máy chủ AAA sinkhole để ngăn chặn truy cập trái phép.
- Tận dụng TCP shun để chặn IP độc hại theo cách thủ công.
- Cấu hình ACL control-plane để lọc các địa chỉ IP công cộng trái phép khỏi việc bắt đầu các phiên VPN.
- Sử dụng xác thực dựa trên chứng chỉ cho RAVPN, cung cấp phương thức xác thực an toàn hơn so với thông tin xác thực truyền thống.
Liên kết tới mạng botnet Brutus
Nhà nghiên cứu bảo mật Aaron Martin cho rằng hoạt động mà Cisco quan sát được có thể là từ một mạng botnet có tên là Brutus. Kết nối này dựa trên phạm vi nhắm mục tiêu cụ thể và kiểu tấn công của chúng.
Martin đã công bố một báo cáo về botnet Brutus mô tả các phương thức tấn công bất thường mà ông và nhà phân tích Chris Grube đã quan sát được kể từ ngày 15/3/2024. Báo cáo lưu ý rằng botnet này với trên 20.000 địa chỉ IP trên toàn thế giới, trải rộng trên nhiều cơ sở hạ tầng khác nhau từ dịch vụ đám mây đến IP Residential.
Các cuộc tấn công mà Martin phát hiện ban đầu nhắm vào các thiết bị SSLVPN từ Fortinet, Palo Alto, SonicWall và Cisco, nhưng hiện đã mở rộng sang cả các ứng dụng web sử dụng Active Directory để xác thực.
Mặc dù chưa rõ thông tin các nhà phát triển của Brutus, Martin đã xác định được hai IP có liên quan đến các hoạt động trước đây của nhóm tin tặc APT29 (Midnight Blizzard, NOBELIUM, Cosy Bear), một nhóm tác nhân đe dọa được cho là có liên hệ với Cơ quan Tình báo đối ngoại Nga (SVR).
Nguyễn Hà Phương
09:00 | 01/02/2024
15:00 | 23/04/2024
13:00 | 23/03/2023
10:00 | 26/04/2024
09:00 | 16/01/2023
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
14:00 | 24/04/2024