Группировка Black Basta внедрила новый инструмент для взлома сетевых устройств под названием BRUTED. Фреймворк автоматизирует брутфорс-атаки устройства, доступные через интернет, такие как межсетевые экраны и VPN, что позволяет злоумышленникам масштабировать атаки с минимальными усилиями. Об этом пишет Securitylab.
EclecticIQ выявила, что Black Basta использует BRUTED с 2023 года для автоматизированных атак на системы удалённого доступа. Инструмент ориентирован на подбор учетных данных к таким сервисам, как SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler, Microsoft RDWeb и WatchGuard SSL VPN.
BRUTED осуществляет поиск уязвимых устройств в интернете, анализируя публичные домены и IP-адреса, а затем отправляет найденные цели на C2-сервер. Затем система использует пароли из удаленных баз в сочетании с локально сгенерированными вариантами для многопоточных атак на авторизацию.
Фреймворк также анализирует SSL-сертификаты целевых устройств, извлекая из них имена доменов и другие данные, которые могут использоваться для создания дополнительных вариантов паролей. Чтобы скрыть свою инфраструктуру, Black Basta применяет сеть прокси-серверов с маскировкой имен доменов.
Автоматизированные инструменты подбора паролей, такие как BRUTED, представляют серьёзную угрозу для корпоративных сетей. Чтобы минимизировать риски, специалисты рекомендуют:
EclecticIQ опубликовала список IP-адресов и доменов, используемых BRUTED, который можно применить для настройки новых правил файрвола и блокировки известных вредоносных адресов.