Identiteits- en toegangsbeheer (IAM)-dienstverlener Okta heeft gewaarschuwd voor een piek in de “frequentie en schaal” van credential stuffing-aanvallen gericht op online diensten.
Deze ongekende aanvallen, die de afgelopen maand zijn waargenomen, zouden worden vergemakkelijkt door “de brede beschikbaarheid van residentiële proxydiensten, lijsten met eerder gestolen inloggegevens (“combolijsten”) en scriptingtools”, aldus het bedrijf in een waarschuwing die zaterdag werd gepubliceerd. .
De bevindingen bouwen voort op een recent advies van Cisco, waarin werd gewaarschuwd voor een wereldwijde toename van brute-force-aanvallen gericht op verschillende apparaten, waaronder Virtual Private Network (VPN)-services, authenticatie-interfaces voor webapplicaties en SSH-services, sinds ten minste 18 maart 2024. .
“Deze aanvallen lijken allemaal afkomstig te zijn van TOR-exitknooppunten en een reeks andere anonimiserende tunnels en proxy's”, merkte Talos destijds op, en voegde eraan toe dat de doelwitten van de aanvallen VPN-apparaten van Cisco, Check Point, Fortinet, SonicWall en ook andere zijn. routers van Draytek, MikroTik en Ubiquiti.
Okta zei dat zijn Identity Threat Research van 19 april tot 26 april 2024 een stijging in de activiteit van het vullen van inloggegevens tegen gebruikersaccounts heeft gedetecteerd vanuit waarschijnlijk een vergelijkbare infrastructuur.
Credential stuffing is een soort cyberaanval waarbij inloggegevens die zijn verkregen via een datalek op de ene service, worden gebruikt om te proberen in te loggen bij een andere, niet-gerelateerde service.
Als alternatief kunnen dergelijke inloggegevens worden geëxtraheerd via phishing-aanvallen die slachtoffers doorverwijzen naar pagina's voor het verzamelen van inloggegevens of via malwarecampagnes die informatiestelers op gecompromitteerde systemen installeren.
“Alle recente aanvallen die we hebben waargenomen, hebben één kenmerk gemeen: ze zijn afhankelijk van verzoeken die worden gerouteerd via anonimiserende diensten zoals TOR”, aldus Okta.
“Miljoenen verzoeken werden ook gerouteerd via een verscheidenheid aan residentiële proxy's, waaronder NSOCKS, Luminati en DataImpulse.”
Residentiële proxy's (RESIP's) verwijzen naar netwerken van legitieme gebruikersapparaten die worden misbruikt om verkeer namens betalende abonnees te routeren zonder hun medeweten of toestemming, waardoor bedreigingsactoren hun kwaadaardige verkeer kunnen verbergen.
Dit wordt meestal bereikt door proxyware-tools op computers, mobiele telefoons of routers te installeren en deze effectief in te schrijven in een botnet dat vervolgens wordt verhuurd aan klanten van de dienst die de bron van hun verkeer willen anonimiseren.
“Soms wordt een gebruikersapparaat ingeschreven in een proxynetwerk omdat de gebruiker er bewust voor kiest om 'proxyware' op zijn apparaat te downloaden in ruil voor betaling of iets anders van waarde”, legt Okta uit.
“Op andere momenten wordt een gebruikersapparaat zonder medeweten van de gebruiker met malware geïnfecteerd en wordt het opgenomen in wat we doorgaans zouden omschrijven als een botnet.”
Vorige maand onthulde het Satori Threat Intelligence-team van HUMAN meer dan twintig kwaadaardige Android VPN-apps die mobiele apparaten in RESIP's veranderen door middel van een embedded software development kit (SDK) die de proxyware-functionaliteit omvatte.
“De netto som van deze activiteit is dat het grootste deel van het verkeer bij deze credential stuffing-aanvallen afkomstig lijkt te zijn van de mobiele apparaten en browsers van gewone gebruikers, en niet van de IP-ruimte van VPS-providers”, aldus Okta.
Om het risico op accountovername te beperken, beveelt het bedrijf organisaties aan om gebruikers te dwingen over te schakelen naar sterke wachtwoorden, tweefactorauthenticatie (2FA) in te schakelen, verzoeken te weigeren die afkomstig zijn van locaties waar ze niet actief zijn en IP-adressen met een slechte reputatie, en ondersteuning voor wachtwoordsleutels toevoegen.
