СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
2 марта
#ИБ#Инфра

Массовая разведка SonicWall: сканирование SSL VPN и CVE

Недавняя активность, зафиксированная GreyNoise, выявила масштабную разведывательную кампанию, направленную на инфраструктуру SonicWall SonicOS. В период с 22 по 25 февраля 2026 года исследователи зарегистрировали 84 142 сеанса сканирования, исходящих от 4 305 уникальных IP-адресов и реализованных через 20 автономных систем, действовавших скоординированно для перечисления конечных точек VPN.

Ключевые наблюдения

  • Общее число сеансов сканирования: 84 142 (22–25 февраля 2026).
  • Уникальные IP-адреса: 4 305.
  • Автономные системы: 20, демонстрирующих координацию.
  • 92% трафика были направлены на одну конечную точку API, предназначенную для проверки состояния конфигурации SSL VPN.
  • Коммерческие прокси-сервисы обеспечили 32% объема трафика с использованием 4 102 сменяющихся выходных IP-адресов в течение двух основных пакетов кампании.
  • Наличие кластеров вторичного сканирования из Нидерландов, нацеленных на устройства SonicWall и Cisco ASA, указывает на более широкую инициативу против инфраструктур VPN.

Тактика и инфраструктура атакующих

Анализ показывает стратегическое использование коммерческих прокси и вращающихся выходных IP-адресов для маскировки источников сканирования. Высокая концентрация запросов к одной API-конечной точке, отвечающей за проверку конфигурации SSL VPN, свидетельствует о целенаправленной подготовке для последующих атак, ориентированных на компрометацию учетных данных.

Кластеры вторичного сканирования в Нидерландах, одновременно направленные на Cisco ASA и SonicWall, демонстрируют намерение злоумышленников расширить удар по разным вендорам VPN, а не ограничиваться одной платформой.

Связь с программами-вымогателями и исторические прецеденты

SSL VPN от SonicWall признан удобным вектором первоначального доступа для групп программ-вымогателей, таких как Akira и Fog. Типичная тактика этих групп — использование скомпрометированных учетных данных VPN для быстрого проникновения и последующего распространения внутри сети, что в ряде случаев приводит к полному шифрованию инфраструктуры менее чем за четыре часа.

Исторические данные указывают, что Akira ассоциируют с компрометацией более 250 организаций, что подчёркивает критическую необходимость для клиентов SonicWall пересмотреть и усилить свои меры безопасности.

Уязвимости и предупреждения

Особую озабоченность вызывают пять CVE SonicWall, релевантных наблюдаемой активности разведки; часть из них занесена в список известных эксплуатируемых уязвимостей (CISA). Среди приоритетных — CVE-2024-53704, на которую в отчёте указывается отдельно как на первоочередную для исправления.

Microsoft призывает к немедленным действиям по блокировке IP-адресов, исправлению выявленных уязвимостей (в частности, CVE-2024-53704) и применению многофакторной аутентификации для усиления защиты от атак с использованием учетных данных.

Практические рекомендации

  • Приоритетно исправить известные уязвимости, включая CVE-2024-53704, и применить все рекомендованные патчи от вендора.
  • Заблокировать подозрительные и подтверждённо злонамеренные IP-адреса и диапазоны, отмеченные в расследовании.
  • Внедрить и обеспечить обязательное использование многофакторной аутентификации (MFA) для доступа через SSL VPN.
  • Ограничить доступ к интерфейсам управления и SSL VPN с помощью контроля доступа по IP, VPN-джамп-хостов или других механик сегментации.
  • Усилить мониторинг и проведение охоты за угрозами (threat hunting) на предмет нетипичных попыток аутентификации и сканирования API-конечных точек.
  • Провести аудит и смену учетных данных, особенно для учетных записей с правами администратора или удалённого доступа.

Вывод

Зафиксированная GreyNoise разведывательная кампания представляет собой четко спланированную подготовку к возможной эксплуатации уязвимостей и компрометации учетных данных SSL VPN. Поскольку 92% трафика фокусируется на одной API-конечной точке, организациям следует срочно уделить приоритетное внимание защите интерфейсов управления, ограничению доступа к SSL VPN и применению надежных мер против подстановки украденных учетных данных. Принятые превентивные меры сегодня могут предотвратить быстрое и масштабное проникновение, характерное для групп вроде Akira и Fog.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: