Έχει παρατηρηθεί μια σημαντική ακίδα στη δραστηριότητα σάρωσης που στοχεύει στις πύλες Palo Alto Network GlobalProtect Login, με τους ερευνητές να είναι ένα προοίμιο για μια επερχόμενη επίθεση ή ελάττωμα που εκμεταλλεύεται.
Σύμφωνα με τον Greynoise, το οποίο αναφέρει τη δραστηριότητα, η δραστηριότητα σάρωσης περιλαμβάνει πάνω από 24.000 μοναδικές διευθύνσεις IP προέλευσης. Η δραστηριότητα κορυφώθηκε σε 20.000 μοναδικές διευθύνσεις IP την ημέρα στις 17 Μαρτίου 2025 και συνεχίστηκε σε αυτή την κλίμακα μέχρι τις 26 Μαρτίου.
Από αυτά τα IPs, 23.800 ταξινομούνται ως “ύποπτα”, ενώ 154 επικυρώθηκαν από την επιχείρηση παρακολούθησης απειλών ως “κακόβουλες”, αφήνοντας ελάχιστες αμφιβολίες για τις πραγματικές προθέσεις της δραστηριότητας.
Οι περισσότερες από τις προσπάθειες σάρωσης προέρχονται από τις Ηνωμένες Πολιτείες και τον Καναδά. Τα περισσότερα στοχοθετημένα συστήματα βασίζονται στις Ηνωμένες Πολιτείες, αν και άλλες χώρες στοχεύουν επίσης.
Πηγή: Greynoise
Ο Greynoise σημείωσε ότι στο παρελθόν, τέτοιες αιχμές στη σάρωση του δικτύου έχουν συνδεθεί με την προπαρασκευαστική αναγνώριση, η οποία τελικά ακολουθήθηκε από την αποκάλυψη των ελαττωμάτων δύο έως τέσσερις εβδομάδες αργότερα.
“Κατά τους τελευταίους 18 έως 24 μήνες, παρατηρήσαμε ένα συνεπές πρότυπο σκόπιμης στόχευσης παλαιότερων τρωτών σημείων ή φθαρμένων προσπαθειών επίθεσης και αναγνώρισης κατά συγκεκριμένων τεχνολογιών”. δηλώνει ο Bob RudisVP της επιστήμης των δεδομένων στο Greynoise.
“Αυτά τα πρότυπα συχνά συμπίπτουν με νέα τρωτά σημεία που αναδύονται 2 έως 4 εβδομάδες αργότερα.”
Ο Greynoise υπογράμμισε τη συνέπεια στον τρόπο με τον οποίο εκτελείται η δραστηριότητα σάρωσης, υποδηλώνοντας ότι θα μπορούσε να αποτελέσει μέρος μιας προσπάθειας δοκιμής των αμυντικών δικτύων πριν επιχειρήσει στοχοθετημένη εκμετάλλευση.
Οι ερευνητές έχουν επίσης βρει έναν σύνδεσμο σε μια άλλη δραστηριότητα που έχουν παρατηρήσει πρόσφατα, σχετικά με έναν παρωχημένο ανιχνευτή που επίσης αυξήθηκε στις 26 Μαρτίου 2025, που περιλαμβάνει 2.580 IPs στις σαρώσεις του.
Ο Greynoise σημείωσε ότι η δραστηριότητα θυμίζει την εκστρατεία κατασκοπείας Cisco Talos που αποδίδεται στους χάκερ του «Arcanedoor» περίπου πριν από ένα χρόνο, στοχεύοντας σε συσκευές Edge.
Αυτή τη στιγμή, η ακριβής φύση και οι στόχοι αυτής της δραστηριότητας μεγάλης κλίμακας παραμένουν θολή, αλλά η διαδρομή για τους διαχειριστές των συστημάτων Palo Alto Networks που εκτελείται από το Διαδίκτυο πρέπει να είναι η αύξηση της επαγρύπνησης τους ενάντια στην ανίχνευση και τις πιθανές προσπάθειες εκμετάλλευσης.
Ο Greynoise συνιστά την αναθεώρηση των αρχείων καταγραφής από τα μέσα Μαρτίου για να αξιολογήσετε εάν έχετε στοχεύσει, κυνήγι για σημάδια συμβιβασμού, Harden Portals Login και μπλοκ γνωστών κακόβουλων IPs (κοινόχρηστο στην έκθεση).
Ο BleepingComputer έχει έρθει σε επαφή με το Palo Alto Networks για ένα σχόλιο σχετικά με τη δραστηριότητα που βλέπει ο Greynoise και θα ενημερώσουμε αυτήν την ανάρτηση όταν ακούμε.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
