Хакер #309. Самооборона по-хакерски
Исследователи заметили, что вымогательская группировка Black Basta разработала собственную платформу для автоматизации брутфорса, получившую название BRUTED. Она применяется для взлома пограничных сетевых устройств, таких как брандмауэры и VPN.
Как сообщают специалисты EclecticIQ, обнаружить BRUTED удалось в ходе анализа логов чатов группировки, которые недавно утекли в сеть. Этот фреймворк позволил хакерам упростить первоначальный доступ к сетям и масштабировать вымогательские атаки на уязвимые эндпоинты. По информации специалистов, Black Basta использует платформу BRUTED с 2023 года для проведения крупномасштабных атак типа credential-stuffing и брутфорса.
Анализ исходного кода показал, что фреймворк специально создан для перебора учетных данных в следующих продуктах: SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) и WatchGuard SSL VPN.
Фреймворк обнаруживает публично доступные пограничные сетевые устройства, соответствующие списку целей, путем перебора поддоменов, преобразования IP-адресов и добавления префиксов типа .vpn и remote. Информация о совпадениях передается на управляющий сервер.
После выявления потенциальных целей BRUTED извлекает возможные пароли с удаленного сервера и комбинирует их с локально сгенерированными предположениями для выполнения множества запросов на аутентификацию через несколько процессов CPU. При этом инструмент использует особые заголовки запросов и пользовательские агенты для каждого целевого устройства.
Согласно отчету EclecticIQ, BRUTED может извлекать Common Name (CN) и Subject Alternative Names (SAN) из SSL-сертификатов целевых устройств, что помогает генерировать дополнительные варианты возможных паролей, основанные на домене и соглашениях об именах.
Чтобы избежать обнаружения, фреймворк использует ряд SOCKS5-прокси с доменным именем <...>fuck-you-usa[.]com, которое маскирует инфраструктуру злоумышленников. Исследователи отмечают, что основная инфраструктура включает в себя несколько находящихся в России серверов и зарегистрирована как Proton66 (AS 198953).
Эксперты заключают, что такие инструменты, как BRUTED, упрощают работу вымогательского ПО, позволяя хакерам прилагать минимум усилий для проникновения сразу в несколько сетей, что в итоге увеличивает возможности злоумышленников для монетизации.
Ключевой стратегией защиты от таких угроз исследователи называют использование надежных и уникальных паролей для всех пограничных устройств и VPN-аккаунтов, а также многофакторную аутентификацию (МФА) для блокировки доступа даже в случае компрометации учетных данных.
