GreyNoiseのサイバーセキュリティ研究者は、企業向けVPN認証システムを標的とした大規模で協調的なキャンペーンを特定しました。
攻撃者は、特定の脆弱性を悪用するのではなく、認証情報ベースの攻撃によって、Cisco SSL VPNおよびPalo Alto Networks GlobalProtectサービスへの侵入を組織的に試みています。
このキャンペーン活動は12月中旬の2日間に集中して観測され、企業のアクセスポイントを侵害するための高度なアプローチが明らかになりました。
攻撃の詳細
このキャンペーンは12月11日に始まり、GreyNoiseはPalo Alto Networks GlobalProtectポータルを標的とした自動ログイン試行の大幅な急増を検知しました。
攻撃者はわずか16時間で約170万件のログインセッションを生成し、発信元は1万を超えるユニークIPアドレスに及びました。
攻撃トラフィックは主に米国、パキスタン、メキシコに所在するGlobalProtectポータルを標的としており、すべてのリクエストはドイツのホスティングプロバイダーである3xK GmbHが管理するインフラから発信されていました。
攻撃者は一様な攻撃パターンを用い、一般的なユーザー名とパスワードの組み合わせを再利用し、ユーザーエージェントにはFirefoxを使用していました。これは自動化攻撃としては異例の選択です。
この一貫性は、保護が弱い、または露出しているGlobalProtectポータルを特定し、大規模に棚卸しすることを目的としてキャンペーンが設計されたことを示唆しています。
翌日の12月12日、同じ脅威アクターはCisco SSL VPNエンドポイントへと焦点を移しました。
攻撃に使用されたユニークIPアドレス数は、通常のベースラインである200未満から1,273IPへと劇的に増加し、通常の活動パターンから大きく逸脱していることが示されました。
分析により、この活動がPalo Altoへの攻撃波と同じインフラ、TCPフィンガープリント、そして同一の発信元ホスティングプロバイダーを共有していることが確認されました。
ログイン試行は、CSRFトークンの処理やパラメータ化されたユーザー名・パスワードフィールドを含む、標準的なSSL VPN認証ワークフローに従っていました。
リクエストは、認証情報スタッフィングおよびパスワードスプレーの手法と整合していました。これは、盗まれた、または一般的な認証情報の組み合わせを企業システムに対して試すことを目的とした攻撃です。
注目すべき点として、GreyNoiseは、このキャンペーンがCisco Secure Email Gatewayサービスを標的とした別のCisco Talosのオペレーションと関連していることを示す証拠を見つけていません。
GreyNoiseは、Palo Alto Networks Login ScannerおよびCisco SSL VPN Bruteforcerの両方に対するブロックリストを公開しており、顧客が悪意のあるIPアドレスを迅速にブロックできるようにしています。
同社は引き続きこのキャンペーンを監視しており、新たな情報が判明次第、更新を提供するとしています。
この攻撃は、企業VPNインフラが継続的に圧力を受けていることを浮き彫りにし、強固なアクセス制御とネットワーク境界における継続的な監視の重要性を強調しています。
翻訳元: https://gbhackers.com/hackers-actively-target-cisco-and-palo-alto-vpn-gateways/
