Резкий рост сканирования устройств Palo Alto Networks может указывать на подготовку кибератак

3 октября 2025 года служба мониторинга интернет-угроз GreyNoise зафиксировала беспрецедентный всплеск сканирующей активности, направленной на устройства Palo Alto Networks. Количество уникальных IP-адресов, сканирующих порталы входа в систему производителя систем безопасности, увеличилось примерно на 500% за 48 часов, достигнув максимального показателя за последние 90 дней.

Описание

Согласно данным исследования, 3 октября примерно 1 300 уникальных IP-адресов активировали специальный тег GreyNoise «Сканер входа в Palo Alto Networks». Для сравнения, в предыдущие 90 дней суточные объемы редко превышали 200 адресов. Аналитики классифицировали 93% этих IP-адресов как подозрительные и 7% как явно вредоносные. Геолокация показала, что 91% сканирующей инфраструктуры расположен в Соединенных Штатах, с меньшими кластерами в Великобритании, Нидерландах, Канаде и России.

Особенностью данной активности стала ее целевая природа. Практически все сканирование было направлено на эмулированные профили GreyNoise, имитирующие системы Palo Alto GlobalProtect и операционную систему PAN-OS. Это свидетельствует о том, что злоумышленники целенаправленно ищут конкретные устройства безопасности, используя либо публичные поисковые системы интернета вещей, такие как Shodan и Censys, либо собственные инструменты для снятия цифровых отпечатков.

В течение последних 48 часов наблюдались две различные группы сканирования. Одна направляла основной трафик на цели в США, а другая сконцентрировалась на Пакистане. Хотя эти группы использовали разные цифровые отпечатки TLS, анализ выявил определенное совпадение в инструментарии. Также были атакованы профили, расположенные в Мексике, Франции, Австралии и Великобритании.

Исследование GreyNoise, проведенное еще в июле, показало, что всплески активности против технологий Palo Alto в некоторых случаях предшествовали объявлениям о новых уязвимостях в течение шести недель. Однако предыдущие скачки активности, связанные конкретно со сканерами входа в систему, такой корреляции не демонстрировали. Специалисты продолжают мониторинг, чтобы определить, предвещает ли текущий всплеск новое раскрытие уязвимости Palo Alto, что стало бы дополнительным сигналом к июльским наблюдениям.

Аналитики обнаружили потенциальную связь между сканированием Palo Alto и одновременной активностью против межсетевых экранов Cisco ASA. В обоих случаях сканеры демонстрировали региональную кластеризацию и совпадения в используемых инструментах снятия отпечатков. Более того, трафик сканирования как Cisco ASA, так и Palo Alto за последние 48 часов имеет доминирующий TLS-отпечаток, связанный с инфраструктурой в Нидерландах. Знаковым прецедентом является то, что GreyNoise изначально сообщала о всплеске сканирования ASA непосредственно перед тем, как Cisco раскрыла две уязвимости нулевого дня в этих устройствах.

Эти сходства указывают на то, что активность может быть связана общим инструментарием или централизованно управляемой инфраструктурой. Тем не менее, GreyNoise не может с уверенностью подтвердить, что действия выполнялись одними и теми же операторами или с идентичными целями. В дополнение к возможной связи со сканированием Cisco ASA, были идентифицированы параллельные всплески активности, нацеленные на различные сервисы удаленного доступа. Хотя это вызывает подозрения, пока не установлено, связаны ли эти события между собой.

Подобные скоординированные кампании сканирования часто являются подготовительным этапом для более масштабных атак. Злоумышленники собирают разведданные о целевых сетях, составляя карту доступных устройств безопасности, изучая их версии и потенциальные слабые места. Организациям, использующим устройства Palo Alto Networks и Cisco ASA, рекомендуется повысить бдительность, проверить журналы безопасности на предмет подозрительных попыток входа и незамедлительно применять патчи, как только они становятся доступны. Мониторинг входящего трафика на порты, связанные с GlobalProtect и веб-интерфейсами управления, также имеет решающее значение для раннего обнаружения подобных разведывательных операций.

Индикаторы компрометации

IPv4

1.179.247.6
102.129.153.244
102.129.252.164
102.214.109.95
103.114.201.92
103.161.185.116
103.179.142.104
103.190.215.36
103.190.215.88
104.207.38.145
104.207.39.83
104.207.40.186
104.207.41.4
104.207.42.168
104.207.42.55
104.207.44.248
104.207.45.107
104.207.45.51
104.249.40.222
107.150.97.192
107.173.191.184
107.173.47.26
109.199.101.69
110.159.220.245
111.26.63.83
111.91.31.5
114.202.80.152
115.134.97.204
116.214.110.245
118.26.153.102
121.121.104.234
121.121.134.85
121.121.137.150
121.121.138.93
121.121.160.200
121.121.183.32
121.121.220.208
121.122.115.215
121.123.65.45
121.123.86.117
121.139.41.95
121.154.197.2
121.186.122.83
121.202.138.16
121.73.163.65
122.170.5.146
122.186.152.202
122.186.219.150
122.186.242.42
123.231.137.43
124.246.114.111
124.88.174.143
124.9.12.195
125.19.178.182
125.19.222.186
125.23.252.30
128.185.214.22
129.126.207.90
129.146.60.37
129.148.58.120
129.232.130.130
134.65.50.254
134.65.51.9
136.232.76.158
138.201.89.29
138.3.248.125
138.36.24.33
139.162.83.81
14.192.193.130
14.192.203.126
14.192.241.249
14.202.59.13
141.147.6.89
141.98.80.111
141.98.80.113
141.98.80.114
142.11.247.94
143.198.202.211
144.126.197.43
144.22.200.194
146.158.112.84
147.235.226.130
148.251.55.111
149.62.189.96
149.86.17.67
151.240.205.193
151.240.205.225
152.32.191.55
153.178.161.83
154.113.97.114
154.198.43.250
154.209.4.129
154.70.82.206
157.173.195.205
157.20.200.193
158.69.197.21
159.100.14.67
160.251.142.253
161.97.143.64
162.17.11.137
163.223.244.3
165.154.134.221
166.88.11.118
167.172.74.156
167.235.203.197
167.71.255.191
168.119.233.168
169.211.154.98
170.247.3.14
173.197.62.234
174.70.58.126
175.139.229.73
176.125.148.111
176.126.103.47
176.57.211.126
176.98.248.244
177.66.103.194
178.117.56.226
178.22.24.35
179.60.145.6
179.60.145.8
180.35.15.99
182.18.178.45
182.66.214.70
182.79.51.82
182.95.174.18
182.95.176.194
185.159.165.65
185.167.56.24
185.190.24.199
185.22.236.71
185.99.220.28
187.170.50.85
188.226.164.113
191.59.178.242
193.17.183.48
193.24.211.6
193.24.211.7
193.24.211.8
194.108.5.189
194.108.5.212
194.108.5.223
194.164.199.75
195.209.54.63
195.245.99.233
195.57.96.249
196.202.146.226
196.251.71.180
196.251.71.243
196.251.73.4
196.251.73.72
196.251.73.99
196.251.80.12
196.251.80.123
196.251.80.145
196.251.80.147
196.251.80.207
196.251.80.68
196.251.80.69
196.251.80.86
196.251.80.96
196.251.81.17
196.251.81.18
196.251.81.19
196.251.81.20
196.251.81.239
196.251.81.241
196.251.81.49
196.251.81.54
196.251.81.56
196.251.81.86
196.251.83.181
196.251.83.192
196.251.83.87
196.251.84.188
196.251.84.27
196.251.85.183
196.251.85.19
196.251.87.152
196.251.87.156
198.23.248.151
198.57.47.52
198.58.116.117
199.116.56.8
2.176.147.93
2.180.31.224
2.55.112.244
20.168.99.56
200.218.237.250
201.159.112.90
202.153.232.148
207.254.64.202
208.52.182.224
209.50.160.97
209.50.164.181
209.50.165.16
209.50.165.41
209.50.166.30
209.50.170.197
209.50.172.113
209.50.172.172
209.50.174.234
209.74.88.223
210.177.148.45
211.72.70.119
212.234.21.241
212.56.53.116
212.57.115.203
213.113.51.251
213.142.151.253
213.189.220.174
213.21.28.173
213.238.254.156
213.93.107.139
216.104.122.159
216.26.225.222
216.26.225.231
216.26.226.123
216.26.227.117
216.26.227.213
216.26.228.255
216.26.228.8
216.26.229.60
216.26.230.194
216.26.230.215
216.26.232.201
216.26.232.236
216.26.234.58
216.26.234.8
216.26.236.125
216.26.237.202
216.26.238.52
217.154.33.84
217.159.137.242
217.73.116.13
218.155.222.207
219.76.177.115
220.246.42.212
220.246.42.217
221.154.205.40
222.99.52.202
23.242.79.199
23.253.82.127
23.30.11.253
24.112.109.248
24.131.193.111
24.207.66.154
27.102.119.32
27.123.86.146
31.171.130.134
31.171.130.141
31.171.130.143
31.171.130.162
31.220.42.232
36.39.140.2
36.64.241.34
37.113.234.223
37.157.196.50
38.107.137.162
38.242.219.222
38.7.172.134
39.119.98.180
4.251.18.33
41.75.114.61
43.134.25.223
43.135.179.144
43.161.215.222
45.119.84.44
45.136.247.145
45.155.170.188
45.227.255.145
45.227.255.146
45.227.255.147
45.227.255.148
45.3.35.239
45.3.50.187
45.3.50.199
45.3.50.37
45.79.33.56
45.87.3.21
46.0.66.102
46.161.27.84
46.161.27.85
46.161.27.86
46.25.31.82
46.59.52.199
46.62.147.65
47.236.55.177
47.239.207.172
47.245.102.215
47.83.4.22
47.91.127.94
49.12.101.49
49.124.152.162
49.13.10.215
49.13.132.125
49.13.52.254
49.207.15.25
5.181.86.107
5.181.86.68
5.187.45.102
5.9.158.111
50.7.92.106
50.99.41.136
54.38.178.133
57.128.225.128
57.129.71.88
58.152.111.167
60.243.246.162
62.64.247.195
64.227.145.220
65.108.90.83
65.111.12.156
65.111.13.153
65.111.15.244
65.111.2.35
65.111.3.31
65.111.6.224
65.111.6.56
65.111.6.65
65.20.131.7
65.20.153.202
65.21.180.149
65.27.161.30
66.165.251.58
69.193.118.35
69.74.29.21
72.250.81.82
74.194.191.52
74.207.254.78
74.208.24.61
74.208.7.80
74.89.102.176
74.89.106.167
75.24.123.112
77.222.63.171
77.246.107.136
77.246.157.203
77.36.113.11
77.36.113.2
77.36.113.3
77.36.113.4
77.36.113.5
77.36.113.7
77.36.113.8
77.36.113.9
77.68.31.90
78.186.146.88
78.203.44.169
79.161.164.96
79.174.184.75
8.219.233.233
8.219.239.191
8.222.147.215
80.197.0.29
80.211.205.107
81.13.62.77
81.16.11.247
81.223.76.162
81.225.159.63
81.229.201.139
82.165.132.208
82.65.34.94
82.83.145.32
84.214.255.205
84.239.43.132
84.239.43.15
84.239.43.175
84.239.43.3
84.239.47.138
84.247.161.86
84.247.167.185
84.247.182.32
85.156.57.233
85.164.202.190
85.192.43.48
85.206.52.54
85.214.21.78
85.214.238.170
85.228.121.230
85.246.247.11
86.217.167.242
86.57.154.68
87.115.54.248
87.157.79.15
87.200.171.25
88.203.214.36
88.203.62.30
88.208.227.251
89.22.80.112
89.22.80.64
90.140.240.213
91.146.56.242
91.156.180.96
91.239.206.98
91.99.2.153
92.243.24.219
92.51.2.3
94.100.26.141
94.125.11.154
94.23.49.74
94.85.218.194
95.105.52.153
95.216.197.146
95.231.181.38
95.31.196.133
95.31.220.49
95.55.88.143
96.2.89.67
96.233.51.207