Группировка Black Basta внедрила новый инструмент для взлома сетевых устройств под названием BRUTED. Фреймворк автоматизирует брутфорс-атаки на устройства, доступные через интернет, такие как межсетевые экраны и VPN, что позволяет злоумышленникам масштабировать атаки с минимальными усилиями.
EclecticIQ выявила , что Black Basta использует BRUTED с 2023 года для автоматизированных атак на системы удалённого доступа. Инструмент ориентирован на подбор учетных данных к таким сервисам, как SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler, Microsoft RDWeb и WatchGuard SSL VPN.
Фреймворк обнаруживает публично доступные пограничные сетевые устройства, соответствующие списку целей, путем перебора поддоменов, преобразования IP-адресов и добавления префиксов типа .vpn и remote. Информация о совпадениях передается на управляющий сервер.
После выявления потенциальных целей BRUTED извлекает возможные пароли с удаленного сервера и комбинирует их с локально сгенерированными предположениями для выполнения множества запросов на аутентификацию через несколько процессов CPU. При этом инструмент использует особые заголовки запросов и пользовательские агенты для каждого целевого устройства.
Фреймворк также анализирует SSL-сертификаты целевых устройств, извлекая из них имена доменов и другие данные, которые могут использоваться для создания дополнительных вариантов паролей. Чтобы скрыть свою инфраструктуру, Black Basta применяет сеть прокси-серверов с маскировкой имен доменов.
Схема атаки Black Basta с использованием BRUTED (EclecticIQ)
Автоматизированные инструменты подбора паролей, такие как BRUTED, представляют серьёзную угрозу для корпоративных сетей. Чтобы минимизировать риски, специалисты рекомендуют:
— Использовать сложные и уникальные пароли для всех учётных записей VPN и устройств на границе сети.
— Обязательно включать многофакторную аутентификацию (MFA), которая предотвратит доступ даже в случае компрометации пароля.
— Следить за аномальными попытками входа в систему, включая массовые неудачные авторизации и попытки входа из неизвестных местоположений.
— Ограничивать частоту входов и устанавливать блокировку аккаунтов при подозрительных попытках авторизации.
— Регулярно обновлять программное обеспечение сетевых устройств, даже если инструмент не использует уязвимости, а только метод подбора паролей.
EclecticIQ опубликовала список IP-адресов и доменов, используемых BRUTED, который можно применить для настройки новых правил фаервола и блокировки известных вредоносных адресов:
- 45.140.17[.]40
- 45.140.17[.]24
- 45.140.17[.]23
С заботой о вашей безопасности, команда Origin Security
