Търсене
Close this search box.

Доставчикът на услуги за управление на идентичността и достъпа (IAM) Okta предупреди за рязък скок в „честотата и мащаба“ на атаките за попълване на удостоверения, насочени към онлайн услуги.

Тези безпрецедентни атаки, наблюдавани през последния месец, са улеснени от „широката достъпност на прокси услуги за домашни потребители, списъци с откраднати преди това пълномощия (“списъци с комбинации„) и инструменти за писане на скриптове“, се казва в предупреждение на компанията, публикувано в събота.

Констатациите се основават на неотдавнашна консултация на Cisco, която предупреждава за глобален скок на атаките с груба сила, насочени към различни устройства, включително услуги на виртуални частни мрежи (VPN), интерфейси за удостоверяване на уеб приложения и SSH услуги, поне от 18 март 2024 г. насам.

„Всички тези атаки изглежда произхождат от изходни възли на TOR и редица други анонимизиращи тунели и проксита“, отбеляза тогава Talos, като добави, че целите на атаките включват VPN устройства от Cisco, Check Point, Fortinet, SonicWall, както и маршрутизатори от Draytek, MikroTik и Ubiquiti.

Okta съобщи, че нейното изследване на заплахите за идентичността е открило активизиране на дейността по попълване на удостоверения срещу потребителски акаунти от 19 април до 26 април 2024 г. от вероятно подобна инфраструктура.

Credential stuffing е вид кибератака, при която идентификационните данни, получени от нарушение на данните в една услуга, се използват за опит за влизане в друга несвързана услуга.

Алтернативно, такива пълномощия могат да бъдат извлечени чрез фишинг атаки, които пренасочват жертвите към страници за събиране на пълномощия, или чрез кампании със зловреден софтуер, които инсталират устройства за кражба на информация в компрометирани системи.

„Всички неотдавнашни атаки, които наблюдавахме, имат една обща черта: те разчитат на това, че заявките се насочват през анонимизиращи услуги като TOR“, заяви Okta.

„Милиони от заявките също така са били насочвани през различни домашни проксита, включително NSOCKS, Luminati и DataImpulse.“

Жилищните проксита (RESIPs) се отнасят до мрежи от легитимни потребителски устройства, които се използват неправомерно за маршрутизиране на трафика от името на плащащи абонати без тяхното знание или съгласие, като по този начин позволяват на участниците в заплахите да прикриват своя злонамерен трафик.

Обикновено това се постига чрез инсталиране на прокси софтуерни инструменти на компютри, мобилни телефони или маршрутизатори, като те на практика се записват в ботнет, който след това се отдава под наем на клиенти на услугата, които желаят да анонимизират източника на своя трафик.

„Понякога дадено потребителско устройство се записва в прокси мрежа, защото потребителят съзнателно избира да изтегли „прокси софтуер“ в своето устройство в замяна на плащане или нещо друго със стойност“, обяснява Okta.

„В други случаи потребителското устройство е заразено със злонамерен софтуер без знанието на потребителя и се включва в това, което обикновено бихме описали като ботнет.“

Миналия месец екипът Satori Threat Intelligence на HUMAN разкри над две дузини злонамерени VPN приложения за Android, които превръщат мобилните устройства в RESIP чрез вграден комплект за разработка на софтуер (SDK), включващ функционалността на проксито.

„Нетната равносметка от тази дейност е, че по-голямата част от трафика при тези credential stuffing атаки изглежда произхожда от мобилните устройства и браузърите на обикновените потребители, а не от IP пространството на доставчиците на VPS“, заявиха от Okta.

За да се намали рискът от превземане на акаунти, компанията препоръчва на организациите да наложат на потребителите да преминат към силни пароли, да активират двуфакторното удостоверяване (2FA), да отказват заявки, идващи от места, където не работят, и IP адреси с лоша репутация, и да добавят поддръжка на пасове.

 

Източник: The Hacker News

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
3 октомври 2024

Рекордна DDoS атака достигна 3,8 Tbps и 2,14 м...

Фирмата за уеб производителност и сигурност Cloudflare наскоро смек...
3 октомври 2024

Microsoft представя Copilot Vision, но набляга ...

Във вторник Microsoft представи нов инструмент за анализ на уеб съд...
Бъдете социални
Още по темата
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
03/10/2024

Пробив с нулев ден в Racks...

Корпоративният хост за облачни услуги Rackspace...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!