Onderzoekers van GreyNoise signaleren een grootschalige en langer lopende campagne van inlogpogingen tegen VPN-omgevingen van Palo Alto Networks en SonicWall. Volgens het bedrijf gaat het om een gecoördineerde aanval waarbij dezelfde tooling over meerdere maanden en via wisselende infrastructuur is ingezet.
De aandacht voor de campagne ontstond nadat GreyNoise op 2 december een piek waarnam van meer dan zevenduizend IP-adressen die probeerden in te loggen op Palo Alto GlobalProtect-portals. Het verkeer was afkomstig van infrastructuur van het Duitse IT-bedrijf 3xK GmbH. Dat opereert als hostingprovider met een eigen autonoom systeem. BleepingComputer schrijft dat deze partij diensten aanbiedt via ASN AS200373.
De piek zelf was van korte duur. Uit analyse blijkt echter dat de activiteit onderdeel is van een bredere aanvalsgolf. GreyNoise constateerde dat dezelfde technische aanvalssignaturen al eerder opdoken tussen eind september en half oktober, toen miljoenen loginpogingen werden uitgevoerd tegen GlobalProtect-omgevingen. In die periode zou het zijn gegaan om meer dan negen miljoen niet-gespoofte HTTP-sessies, grotendeels afkomstig uit netwerken zonder bekende reputatie voor kwaadwillend verkeer.
Die koppeling is gebaseerd op zogeheten client fingerprints, technische kenmerken van netwerkverkeer waarmee specifieke aanvalstools herkenbaar blijven. Volgens GreyNoise doken exact dezelfde drie fingerprints zowel in het najaar als in december opnieuw op, ondanks het gebruik van andere infrastructuur. Dat wijst erop dat dezelfde actor actief is gebleven en bewust van hostingomgeving wisselt.
BleepingComputer meldt bovendien dat GreyNoise medio november al aanvullende activiteit zag vanaf infrastructuur van 3xK, waarbij circa 2,3 miljoen scansessies werden uitgevoerd richting GlobalProtect-portals. Ongeveer 62 procent van de gebruikte IP-adressen was toen gelokaliseerd in Duitsland. Ook in die fase werden identieke TCP- en JA4T-fingerprints vastgesteld, wat de attributie aan één partij verder versterkt.
Ook SonnicWall lag onder vuur
Een dag na de hernieuwde GlobalProtect-activiteit, op 3 december, verplaatste de aandacht zich naar SonicWall-omgevingen. GreyNoise zag scans gericht op SonicOS API-endpoints, opnieuw met exact dezelfde fingerprints. SonicOS is het besturingssysteem van SonicWall-firewalls en biedt beheertoegang via API’s voor configuratie en monitoring. Zulke scans worden vaak ingezet om kwetsbaarheden, fouten in instellingen of potentiële toekomstige aanvalspunten in kaart te brengen.
Palo Alto Networks bevestigt dat het verhoogde scan- en inlogactiviteit richting GlobalProtect-interfaces registreerde. Het bedrijf stelt dat het gaat om credential-based aanvallen en nadrukkelijk niet om misbruik van een softwarekwetsbaarheid. Volgens Palo Alto Networks is er op basis van interne telemetry geen sprake van een compromis van producten of diensten, zo schrijft BleepingComputer.