Brute force és szkennelés: két fronton támadnak
Kezdetben a támadók brute force módszerrel próbáltak belépni a GlobalProtect-portálokra, majd hamar áttértek a SonicWall SonicOS API-végpontjainak szkennelésére. A vizsgálatok során három, már korábban is megfigyelt kliensazonosítót ismertek fel, amelyek naponta több millió, nem hamisított HTTP-munkamenetet generáltak. Ezek főként a GlobalProtect-portálokat célozták, de a legújabb hullámban már SonicWall-tűzfalakat is vizsgáltak.
Főként német támadók, hasonló lenyomatok
A támadások döntő többsége (62%) német IP-címekről érkezett, és ugyanazt a TCP/JA4t-lenyomatot használták, mint korábban. A gyanús anomáliákat azonosító GreyNoise elemzői szerint a különböző hullámokért ugyanaz az elkövető felelős. December 3-ra a támadók már teljes erővel szkennelték a SonicWall API-végpontjait is.
Hogyan védekezz?
A kártékony szkennelés célja a hibás konfigurációk, sérülékenységek felderítése, hogy a későbbi szoftverhibákat időben kihasználhassák. Ezért érdemes figyelni és blokkolni az ilyen támadásokat indító IP-címeket, illetve folyamatosan monitorozni a hitelesítési felületeken a szokatlan próbálkozásokat vagy ismétlődő hibákat. A Palo Alto Networks külön ajánlja a többfaktoros hitelesítés (MFA) kötelezővé tételét, így a jelszavak ellopása után is megelőzhető az adathalászattal vagy feltöréssel történő visszaélés.
