身份識別與存取管理(IAM)服務提供商Okta發出警示,近期針對線上服務的憑證填充攻擊在「頻率與規模」上出現前所未見的攀升。
Okta於預警中表示,這些攻擊是由「廣泛使用的住宅代理服務(residential proxy services)加上先前遭竊的憑證集合清單(combo lists)及腳本工具」實現。
這項發現印證了思科(Cisco)近期發布的公告,警告自3月18日以來,針對各種裝置包括虛擬私有網路(VPN)服務、網路應用程式驗證介面和SSH服務的暴力破解攻擊在全球範圍大幅增加。
相關文章:思科示警VPN、SSH服務遭大規模暴力撞庫攻擊
當時Talos指出,這些攻擊似乎全都來自TOR出口節點及各種其他匿名隧道和代理程式。攻擊目標包括思科、Check Point、Fortinet、SonicWall的VPN設備,以及Draytek、MikroTik和Ubiquiti等品牌的路由器。
Okta的身份威脅研究團隊在4月19日至4月26日期間,偵測到高度可能是來自相同來源的憑證填充活動。
憑證填充是一種網路攻擊手法,駭客會拿入侵獲得的憑證,嘗試登入另一個無關聯的服務。憑證也可能是透過釣魚攻擊重新導向受害者至憑證收集頁面,或是利用安裝資訊竊取程式的惡意軟體活動等途徑獲取。
Okta表示目前觀察到的所有近期攻擊都有一個共同點,它們都仰賴透過匿名服務(如TOR)路由請求。數以百萬計的請求也是經過各種住宅代理伺服器導引,包括NSOCKS、Luminati和DataImpulse。
住宅代理伺服器(RESIP)是指使用者合法裝置的網路。但RESIP常遭到濫用,讓威脅行為者能在不知情或未取得同意下,以各式裝置遮蔽惡意流量的來源。
通常是透過在電腦、行動裝置或路由器上安裝代理程式的手法。這些代理程式中藏有殭屍網路病毒,惡意行為者可出租給想要隱匿流量來源的其他惡意駭客。
Okta表示,這些大多數憑證填充攻擊的流量似乎都來自一般使用者的行動裝置和瀏覽器,而非VPS供應商的IP空間。
為降低帳戶遭入侵的風險,Okta建議企業強制使用者改用強密碼、啟用雙因素驗證(2FA)、封鎖來自無營運據點的請求和不良IP來源、並新增密鑰(passkeys)。
本文轉載自thehackernews。