17/03/25
Группировка Black Basta внедрила новый инструмент для взлома сетевых устройств под названием BRUTED. Фреймворк автоматизирует брутфорс-атаки устройства, доступные через интернет, такие как межсетевые экраны и VPN, что позволяет злоумышленникам масштабировать атаки с минимальными усилиями. Об этом пишет Securitylab.
EclecticIQ выявила, что Black Basta использует BRUTED с 2023 года для автоматизированных атак на системы удалённого доступа. Инструмент ориентирован на подбор учетных данных к таким сервисам, как SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler, Microsoft RDWeb и WatchGuard SSL VPN.
BRUTED осуществляет поиск уязвимых устройств в интернете, анализируя публичные домены и IP-адреса, а затем отправляет найденные цели на C2-сервер. Затем система использует пароли из удаленных баз в сочетании с локально сгенерированными вариантами для многопоточных атак на авторизацию.
Фреймворк также анализирует SSL-сертификаты целевых устройств, извлекая из них имена доменов и другие данные, которые могут использоваться для создания дополнительных вариантов паролей. Чтобы скрыть свою инфраструктуру, Black Basta применяет сеть прокси-серверов с маскировкой имен доменов.
Автоматизированные инструменты подбора паролей, такие как BRUTED, представляют серьёзную угрозу для корпоративных сетей. Чтобы минимизировать риски, специалисты рекомендуют:
- Использовать сложные и уникальные пароли для всех учётных записей VPN и устройств на границе сети.
- Обязательно включать многофакторную аутентификацию (MFA), которая предотвратит доступ даже в случае компрометации пароля.
- Следить за аномальными попытками входа в систему, включая массовые неудачные авторизации и попытки входа из неизвестных местоположений.
- Ограничивать частоту входов и устанавливать блокировку аккаунтов при подозрительных попытках авторизации.
- Регулярно обновлять программное обеспечение сетевых устройств, даже если инструмент не использует уязвимости, а только метод подбора паролей.
EclecticIQ опубликовала список IP-адресов и доменов, используемых BRUTED, который можно применить для настройки новых правил файрвола и блокировки известных вредоносных адресов.
