Tấn công password spray vào RAVPN

RAVPN thường áp dụng cho các nhân viên và người dùng làm việc lưu động hay làm việc ở nhà muốn kết nối vào mạng công ty một cách an toàn. RAVPN còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server. VPN hoạt động nhờ vào sự kết hợp các giao thức đóng gói PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS.

Cisco nhận định các cuộc tấn công cũng nhắm vào các dịch vụ RAVPN là một phần của chuỗi hoạt động trinh sát mạng mục tiêu. Trong cuộc tấn công password spray, tin tặc thử cùng một mật khẩu với nhiều tài khoản để cố gắng đăng nhập.

Hướng dẫn của Cisco liệt kê các chỉ báo về sự xâm phạm (IoC) cho hoạt động này nhằm giúp phát hiện các cuộc tấn công và ngăn chặn chúng. Điều này bao gồm việc không thể thiết lập kết nối VPN với Cisco Secure Client (AnyConnect) khi bật tính năng Firewall Posture (HostScan).Một dấu hiệu khác là số lượng yêu cầu xác thực bất thường được ghi lại bởi nhật ký hệ thống.

Dưới đây là các khuyến nghị của Cisco để chống lại các cuộc tấn công password spray, bao gồm:

- Cho phép ghi nhật ký vào máy chủ nhật ký hệ thống từ xa để cải thiện khả năng phân tích sự cố.

- Bảo vệ cấu hình RAVPN bằng cách trỏ các cấu hình kết nối mặc định không được sử dụng đến máy chủ AAA sinkhole để ngăn chặn truy cập trái phép.

- Tận dụng TCP shun để chặn IP độc hại theo cách thủ công.

- Cấu hình ACL control-plane để lọc các địa chỉ IP công cộng trái phép khỏi việc bắt đầu các phiên VPN.

- Sử dụng xác thực dựa trên chứng chỉ cho RAVPN, cung cấp phương thức xác thực an toàn hơn so với thông tin xác thực truyền thống.

Liên kết tới mạng botnet Brutus

Nhà nghiên cứu bảo mật Aaron Martin cho rằng hoạt động mà Cisco quan sát được có thể là từ một mạng botnet có tên là Brutus. Kết nối này dựa trên phạm vi nhắm mục tiêu cụ thể và kiểu tấn công của chúng.

Martin đã công bố một báo cáo về botnet Brutus mô tả các phương thức tấn công bất thường mà ông và nhà phân tích Chris Grube đã quan sát được kể từ ngày 15/3/2024. Báo cáo lưu ý rằng botnet này với trên 20.000 địa chỉ IP trên toàn thế giới, trải rộng trên nhiều cơ sở hạ tầng khác nhau từ dịch vụ đám mây đến IP Residential.

Các cuộc tấn công mà Martin phát hiện ban đầu nhắm vào các thiết bị SSLVPN từ Fortinet, Palo Alto, SonicWall và Cisco, nhưng hiện đã mở rộng sang cả các ứng dụng web sử dụng Active Directory để xác thực. 

Mặc dù chưa rõ thông tin các nhà phát triển của Brutus, Martin đã xác định được hai IP có liên quan đến các hoạt động trước đây của nhóm tin tặc APT29 (Midnight Blizzard, NOBELIUM, Cosy Bear), một nhóm tác nhân đe dọa được cho là có liên hệ với Cơ quan Tình báo đối ngoại Nga (SVR).