Οι χάκερ έχουν εξαπολύσει πάνω από 2,3 εκατομμύρια κακόβουλες συνεδρίες κατά των πυλών GlobalProtect VPN της Palo Alto Networks από τις 14 Νοεμβρίου 2025, σύμφωνα με την εταιρεία πληροφοριών απειλών GreyNoise.
Αυτή η αύξηση, η οποία εντάθηκε δραματικά μέσα σε 24 ώρες για να φτάσει σε 40πλάσια αύξηση, αντιπροσωπεύει το υψηλότερο επίπεδο δραστηριότητας τις τελευταίες 90 ημέρες και υπογραμμίζει τους αυξανόμενους κινδύνους για τα συστήματα απομακρυσμένης πρόσβασης παγκοσμίως.
Οι επιθέσεις στοχεύουν κυρίως το /global-protect/login.esp URI στις πλατφόρμες Palo Alto PAN-OS και GlobalProtect, εστιάζοντας σε προσπάθειες σύνδεσης με ωμή βία που θα μπορούσαν να εκθέσουν τα εταιρικά δίκτυα σε μη εξουσιοδοτημένη πρόσβαση.
Οι ερευνητές του GreyNoise παρατήρησαν την ταχεία συσσώρευση που ξεκίνησε την περασμένη εβδομάδα, με τη δραστηριότητα να κορυφώνεται καθώς οι οργανισμοί βασίζονται σε μεγάλο βαθμό σε αυτά τα VPN για ασφαλή απομακρυσμένη εργασία. Αυτή η καμπάνια όχι μόνο απειλεί με παραβιάσεις δεδομένων, αλλά υπογραμμίζει επίσης τις επίμονες ευπάθειες στα ευρέως χρησιμοποιούμενα εργαλεία ασφάλειας δικτύου.
Το Surge συνδέεται με Συντονισμένους Συντελεστές Απειλής
Το GreyNoise έχει ακάλυπτος ισχυροί δεσμοί μεταξύ αυτής της επίθεσης στο Palo Alto και προηγούμενων κακόβουλων εκστρατειών, που τις αποδίδουν με υψηλή εμπιστοσύνη σε επικαλυπτόμενους παράγοντες απειλών.
Οι βασικοί δείκτες περιλαμβάνουν σταθερά δακτυλικά αποτυπώματα TCP και JA4t σε περιστατικά, κοινόχρηστη υποδομή μέσω επαναλαμβανόμενων αυτόνομων αριθμών συστήματος (ASN) και συγχρονισμένο χρονισμό στις αιχμές δραστηριότητας.
Αυτά τα μοτίβα υποδηλώνουν μια εξελιγμένη, πιθανώς επιχορηγούμενη από το κράτος επιχείρηση ή επιχείρηση εγκλήματος στον κυβερνοχώρο που επαναλαμβάνεται με αποδεδειγμένες τακτικές για τον εντοπισμό αδυναμιών στην άμυνα των επιχειρήσεων.
Η υποδομή πίσω από τις επιθέσεις είναι εξαιρετικά συγκεντρωμένη, με το 62% των περιόδων σύνδεσης να προέρχεται από την AS200373 (3xK Tech GmbH), μια γερμανική εταιρεία, που αποτελεί τη ραχοκοκαλιά της καμπάνιας.
Ένα επιπλέον 15% εντοπίζεται στο ίδιο ASN, αλλά δρομολογείται μέσω καναδικών συμπλεγμάτων, υποδεικνύοντας κατανεμημένη φιλοξενία για αποφυγή εντοπισμού. Οι δευτερεύουσες συνεισφορές προέρχονται από το AS208885 (Noyobzoda Faridduni Saidilhom), ενισχύοντας ένα συντονισμένο αποτύπωμα που εκτείνεται σε ηπείρους.
Οι στόχοι εμφανίζονται γεωγραφικά εστιασμένοι, με τις Ηνωμένες Πολιτείες, το Μεξικό και το Πακιστάν να αντιμετωπίζουν το καθένα περίπου ίσους όγκους ανιχνευτών σύνδεσης. Αυτή η διανομή μπορεί να αντανακλά τους εισβολείς που δίνουν προτεραιότητα σε περιοχές υψηλής αξίας ή αξιοποιούν κλεμμένες λίστες διαπιστευτηρίων από διάφορες πηγές.
Για αμυντικό κυνήγι, το GreyNoise τόνισε δύο δακτυλικά αποτυπώματα JA4t που καλύπτουν όλη την παρατηρούμενη δραστηριότητα: 65495_2-4-8-1-3_65495_7 και 33280_2-4-8-1-3_65495_7.
| Τύπος ένδειξης | Αξία |
|---|---|
| ASN (Πρωτοβάθμια) | AS200373 (3xK Tech GmbH) |
| ASN (Δευτεροβάθμια) | AS208885 (Noyobzoda Faridduni Saidilhom) |
| JA4t Δακτυλικό αποτύπωμα 1 | 65495_2-4-8-1-3_65495_7 |
| Δακτυλικό αποτύπωμα JA4t 2 | 33280_2-4-8-1-3_65495_7 |
| URI στόχευσης | /global-protect/login.esp |
Αυτό το περιστατικό απηχεί ιστορικά μοτίβα που παρατηρήθηκαν από το GreyNoise, όπου οι αιχμές στις επιθέσεις ωμής βίας του Fortinet VPN συχνά προηγούνται των αποκαλύψεων ευπάθειας εντός έξι εβδομάδων, μια τάση που σημειώθηκε για πρώτη φορά τον Ιούλιο του 2025.
Παρόμοιες αυξήσεις έπληξαν τις πύλες του Palo Alto τον Απρίλιο και τον Οκτώβριο του 2025, προκαλώντας συμβουλές και συνδέθηκαν με ευρύτερες εκστρατείες εναντίον συσκευών Cisco και Fortinet.
Οι οργανισμοί θα πρέπει να ελέγχουν τις εκτεθειμένες πύλες GlobalProtect, να επιβάλλουν έλεγχο ταυτότητας πολλαπλών παραγόντων και να παρακολουθούν αυτούς τους δείκτες για να αποτρέψουν πιθανές εκμεταλλεύσεις.
Καθώς η απομακρυσμένη πρόσβαση παραμένει πρωταρχικός φορέας για ransomware και κατασκοπεία, αυτό το κύμα επιθέσεων των 2,3 εκατομμυρίων χρησιμεύει ως έντονη υπενθύμιση για τις επιχειρήσεις να σκληρύνουν τις διαμορφώσεις VPN εν μέσω αυξανόμενης πολυπλοκότητας των απειλών.
