Исследователи предупреждают о повышенной активности злоумышленников, которые сканируют интернет в поисках порталов входа в систему Palo Alto Networks GlobalProtect. Предполагается, что это может быть прелюдией к предстоящей атаке или эксплуатации некой уязвимости.
По данным компании GreyNoise, в сканировании участвуют более 24 000 уникальных IP-адресов. 17 марта 2025 года пиковая активность достигала 20 000 уникальных IP-адресов в день, и масштабы кампании сохранялись на том же уровне до 26 марта.
Из этих IP-адресов 23 800 были классифицированы как «подозрительные», а еще 154 и вовсе признаны вредоносными, поэтому эксперты не сомневаются, что за происходящим стоят некие киберпреступники.
Большинство попыток сканирования исходит с территории США и Канады. Основная часть атакуемых систем тоже находится в США, но другие страны тоже затронуты.
Специалисты GreyNoise отмечают, что в прошлом подобные всплески активности обычно были связаны с подготовкой к атакам перед целенаправленной эксплуатацией какого-то бага. Обычно через две-четыре недели после массовых сканирований происходит раскрытие какой-либо уязвимости.
Также исследователи обнаружили связь с другой активностью, которую они наблюдали в последнее время. Краулер, обнаруживающий системы под управлением PAN-OS, тоже активизировался 26 марта 2025 года, и в своих сканированиях задействовал более 2580 IP-адресов.
В GreyNoise отмечают, что происходящее напоминает шпионскую кампанию, направленную на пограничные устройства, которую около года назад эксперты Cisco Talos приписывали хак-группе ArcaneDoor.
Хотя пока природа и цели этой масштабной активности остаются неясными, администраторам систем Palo Alto Networks рекомендуется усилить бдительность и следить за попытками зондирования и потенциальной эксплуатации.
GreyNoise рекомендует просмотреть логи с середины марта, поискать признаки компрометации, укрепить порталы для входа и заблокировать известные вредоносные IP-адреса, которые перечислены в отчете.
