Okta 警告代理驱动的撞库攻击出现前所未有的激增

身份和访问管理 (IAM) 服务提供商 Okta 警告称，针对在线服务的撞库攻击“频率和规模”激增。

该公司在周六发布的警报（https://sec.okta.com/blockanonymizers）中表示，上个月观察到的这些史无前例的攻击据说是由“住宅代理服务的广泛可用性、先前被盗的凭据列表（‘组合列表’）和脚本工具促成的” 。

该调查结果以思科最近的一份咨询报告（https://blog.talosintelligence.com/large-scale-brute-force-activity-targeting-vpns-ssh-services-with-commonly-used-login-credentials/）为基础，该咨询警告称，至少自 2024 年 3 月 18 日起，针对各种设备（包括虚拟专用网络 (VPN) 服务、Web 应用程序身份验证接口和 SSH 服务）的全球暴力攻击激增。

Talos 当时指出：“这些攻击似乎都源自 TOR 出口节点以及一系列其他匿名隧道和代理。”他补充说，攻击目标包括来自 Cisco、Check Point、Fortinet、SonicWall 以及来自 Draytek、MikroTik 和 Ubiquiti 的路由器。

Okta 表示，其身份威胁研究发现，从 2024 年 4 月 19 日到 4 月 26 日，针对用户帐户的撞库活动有所增加，这些活动可能来自类似的基础设施。

撞库是一种网络攻击，其中从一项服务的数据泄露中获得的凭证被用来尝试登录另一项不相关的服务。

或者，可以通过将受害者重定向到凭据收集页面的网络钓鱼攻击或通过在受感染系统上安装信息窃取恶意软件来盗窃用户登录凭据。

“我们观察到的所有最近的攻击都有一个共同点：它们依赖于通过 TOR 等匿名服务路由的请求。”Okta 说。

“数以百万计的请求还通过各种住宅代理进行路由，包括 NSOCKS、Luminati 和 DataImpulse。”

住宅代理 ( RESIP ) 是指合法用户设备网络，在付费用户不知情或未同意的情况下被滥用来代表其路由流量，从而使攻击者能够隐藏其恶意流量。

这通常是通过在计算机、移动电话或路由器上安装代理软件工具，有效地将它们注册到僵尸网络中来实现，然后将该僵尸网络出租给希望匿名隐藏其流量来源的服务客户。

“有时，用户设备会注册到代理网络中，因为用户有意识地选择将‘代理软件’下载到他们的设备中，以换取付款或其他有价值的东西。”Okta 解释道。

“有时，用户设备会在用户不知情的情况下感染恶意软件，并注册到我们通常所说的僵尸网络中。”

上个月，HUMAN 的 Satori 威胁情报团队披露了数十款恶意 Android VPN 应用程序（https://www.humansecurity.com/learn/blog/satori-threat-intelligence-alert-proxylib-and-lumiapps-transform-mobile-devices-into-proxy-nodes），这些应用程序通过包含代理软件功能的嵌入式软件开发套件 (SDK) 将移动设备转变为住宅代理 RESIP。

Okta 表示：“这一活动的最后结果是，这些撞库攻击中的大部分流量似乎源自日常用户的移动设备和浏览器，而不是来自 VPS 提供商的 IP 空间。”

为了降低帐户被盗的风险，该公司建议组织强制用户改用强密码、启用双因素身份验证 (2FA)、拒绝来自其不运营位置和信誉不佳的 IP 地址的请求，以及添加对密钥的支持。

参考链接：https://thehackernews.com/2024/04/okta-warns-of-unprecedented-surge-in.html