Специалисты по кибербезопасности зафиксировали беспрецедентную волну сканирований, нацеленных на порталы аутентификации Palo Alto Networks GlobalProtect. Масштаб операции, охватывающей более 24 000 уникальных IP-адресов, указывает на возможную подготовку к крупномасштабной кибератаке.
Анализ масштабов и природы угрозы
По данным аналитической платформы GreyNoise, пик активности пришелся на 17 марта 2025 года, когда было зафиксировано около 20 000 уникальных IP-адресов, участвующих в сканировании. Высокая интенсивность атак сохранялась вплоть до 26 марта. Особую тревогу вызывает тот факт, что 23 800 IP-адресов классифицированы как подозрительные, а 154 имеют подтвержденную связь с вредоносной активностью.
Географическое распределение атак
Основной источник сканирований локализован в Северной Америке, преимущественно в США и Канаде. Целевые системы также концентрируются на территории США, однако атакам подвергаются организации по всему миру. Такая география может свидетельствовать о попытке злоумышленников замаскировать свое реальное местоположение.
Признаки организованной кампании
Параллельно с массовым сканированием наблюдается активизация специализированного краулера, исследующего системы под управлением PAN-OS. 26 марта зафиксировано более 2580 IP-адресов, задействованных в этой дополнительной разведывательной операции. Эксперты GreyNoise отмечают схожесть текущей активности с методами работы хакерской группы ArcaneDoor, известной своими атаками на пограничные устройства.
Рекомендации по защите
Администраторам систем Palo Alto Networks настоятельно рекомендуется предпринять следующие меры безопасности:
— Провести аудит системных логов начиная с середины марта 2025 года
— Усилить мониторинг попыток несанкционированного доступа
— Внедрить дополнительные механизмы защиты порталов аутентификации
— Заблокировать доступ с известных вредоносных IP-адресов
Учитывая исторические прецеденты, когда подобные масштабные сканирования предшествовали эксплуатации критических уязвимостей, организациям следует максимально оперативно усилить защитные меры и поддерживать повышенный уровень кибербезопасности в ближайшие недели. Своевременное реагирование на потенциальные угрозы может предотвратить серьезные последствия возможных атак.
