Дослідники попереджають про підвищену активність зловмисників, які сканують інтернет у пошуках порталів входу в систему Palo Alto Networks GlobalProtect. Передбачається, що це може бути прелюдією до майбутньої атаки або експлуатації якоїсь уразливості.

Більшість спроб сканування походить із території США і Канади. Основна частина систем, що атакуються, теж перебуває в США, але інші країни теж зачеплені.

Фахівці GreyNoise зазначають, що в минулому подібні сплески активності зазвичай були пов’язані з підготовкою до атак перед цілеспрямованою експлуатацією якогось бага. Зазвичай через два-чотири тижні після масових сканувань відбувається розкриття будь-якої уразливості.

У GreyNoise зазначають, що те, що відбувається, нагадує шпигунську кампанію, спрямовану на прикордонні пристрої, яку близько року тому експерти Cisco Talos приписували хак-групі ArcaneDoor.

Хоча поки природа і цілі цієї масштабної активності залишаються незрозумілими, адміністраторам систем Palo Alto Networks рекомендується посилити пильність і стежити за спробами зондування і потенційної експлуатації.

GreyNoise рекомендує переглянути логи з середини березня, пошукати ознаки компрометації, зміцнити портали для входу і заблокувати відомі шкідливі IP-адреси, які перелічені у звіті.