Kimlik ve erişim yönetimi (IAM) hizmet sağlayıcısı Okta, çevrimiçi hizmetleri hedef alan kimlik bilgisi doldurma saldırılarının “sıklığı ve ölçeğinde” bir artış olduğu konusunda uyardı.
Şirket, geçen ay gözlemlenen bu benzeri görülmemiş saldırıların, “konut proxy hizmetlerinin geniş çapta kullanılabilirliği, önceden çalınan kimlik bilgileri listeleri (‘birleşik listeler’) ve komut dosyası oluşturma araçlarıyla kolaylaştırıldığı söyleniyor. söz konusu Cumartesi günü yayınlanan bir uyarıda.
Bulgular, Cisco’nun, Sanal Özel Ağ (VPN) hizmetleri, web uygulaması kimlik doğrulama arayüzleri ve SSH hizmetleri de dahil olmak üzere çeşitli cihazları hedef alan kaba kuvvet saldırılarında en az 18 Mart 2024’ten bu yana küresel bir artış olduğu konusunda uyarıda bulunan yakın tarihli bir tavsiyesine dayanıyor. .
Talos, “Bu saldırıların tümü TOR çıkış düğümlerinden ve bir dizi diğer anonimleştirici tünellerden ve proxy’lerden kaynaklanıyor gibi görünüyor” dedi ve saldırıların hedeflerinin Cisco, Check Point, Fortinet, SonicWall’un yanı sıra VPN cihazlarından oluştuğunu da sözlerine ekledi. Draytek, MikroTik ve Ubiquiti’den yönlendiriciler.
Okta, Kimlik Tehdidi Araştırması’nın 19 Nisan’dan 26 Nisan 2024’e kadar kullanıcı hesaplarına yönelik kimlik bilgisi doldurma faaliyetlerinde benzer altyapılardan kaynaklanan bir artış tespit ettiğini söyledi.
Kimlik bilgisi doldurma, bir hizmetteki veri ihlalinden elde edilen kimlik bilgilerinin, ilgisiz başka bir hizmette oturum açmak için kullanıldığı bir tür siber saldırıdır.
Alternatif olarak, bu tür kimlik bilgileri, kurbanları kimlik bilgileri toplama sayfalarına yönlendiren kimlik avı saldırıları yoluyla veya güvenliği ihlal edilmiş sistemlere bilgi çalan yazılımlar yükleyen kötü amaçlı yazılım kampanyaları aracılığıyla elde edilebilir.
Okta, “Gözlemlediğimiz tüm son saldırıların ortak bir özelliği var: TOR gibi anonimleştirme hizmetleri aracılığıyla yönlendirilen isteklere dayanıyorlar.” dedi.
“Milyonlarca talep aynı zamanda NSOCKS, Luminati ve DataImpulse dahil olmak üzere çeşitli konut proxy’leri aracılığıyla yönlendirildi.”
Yerleşik proxy’ler (RESIP’ler), ödeme yapan aboneler adına trafiği onların bilgisi veya rızası olmadan yönlendirmek için kötüye kullanılan ve böylece tehdit aktörlerinin kötü niyetli trafiklerini gizlemelerine olanak tanıyan meşru kullanıcı cihazlarından oluşan ağları ifade eder.
Bu genellikle bilgisayarlara, cep telefonlarına veya yönlendiricilere proxy yazılım araçları yükleyerek, bunları etkili bir şekilde bir botnet’e kaydederek ve daha sonra trafiklerinin kaynağını anonimleştirmek isteyen hizmetin müşterilerine kiralanarak gerçekleştirilir.
Okta, “Bazen bir kullanıcı cihazı bir proxy ağına kayıtlıdır çünkü kullanıcı bilinçli olarak ödeme veya değerli başka bir şey karşılığında cihazına ‘proxy yazılımı’ indirmeyi seçer.” diye açıkladı.
“Diğer zamanlarda, bir kullanıcı cihazına kullanıcının bilgisi dışında kötü amaçlı yazılım bulaşır ve genellikle botnet olarak tanımladığımız bir şeye kaydolur.”
Geçen ay, HUMAN’ın Satori Tehdit İstihbaratı ekibi, proxy yazılımı işlevselliğini içeren yerleşik bir yazılım geliştirme kiti (SDK) aracılığıyla mobil cihazları RESIP’lere dönüştüren iki düzineden fazla kötü amaçlı Android VPN uygulamasını ortaya çıkardı.
Okta, “Bu etkinliğin net toplamı, bu kimlik bilgisi doldurma saldırılarındaki trafiğin çoğunun, VPS sağlayıcılarının IP alanından ziyade, günlük kullanıcıların mobil cihazlarından ve tarayıcılarından kaynaklanıyor gibi görünmesidir” dedi.
Hesapların ele geçirilmesi riskini azaltmak için şirket, kuruluşların kullanıcıları güçlü parolalara geçmeye zorlamalarını, iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmelerini, faaliyet göstermedikleri konumlardan gelen istekleri ve itibarı zayıf IP adreslerini reddetmelerini ve geçiş anahtarları için destek ekleyin.