Масивна китайска ботнет от 130 000 устройства е насочена към Microsoft 365 акаунти
Мощна свързана с Китай ботнет беше хваната да стартира широкомащабни атаки с разпръскване на пароли срещу акаунти в Microsoft 365, излагайки бизнесите и организациите на сериозен риск. Според SecurityScorecard този ботнет се подхранва от зашеметяващите 130 000 компрометирани устройства, което го прави една от най-големите киберзаплахи от този вид.
Съдържание
Как работи атаката
Този ботнет използва неинтерактивни влизания и основно удостоверяване, две слаби точки в сигурността на Microsoft 365, които позволяват на атакуващите да тестват откраднати идентификационни данни, без да задействат многофакторно удостоверяване в много конфигурации.
Неинтерактивните влизания често се използват за удостоверяване от услуга към услуга и наследени протоколи като POP, IMAP и SMTP, което ги прави по-малко проверявани от екипите по сигурността. Базовото удостоверяване, въпреки че е отхвърлено от Microsoft, все още е активно в някои среди, което позволява идентификационните данни да се предават в обикновен текст – лесна мишена за хакери.
Ботнетът взема откраднати потребителски имена и пароли, често събрани от зловреден софтуер infostealer, и систематично ги тества срещу Microsoft 365 акаунти. Ако успеят, нападателите получават достъп до чувствителни данни, прекъсват бизнес операциите и се движат странично в организацията.
Защо тази атака е трудна за откриване
Един от най-страшните аспекти на тази атака е нейната стелт. Тъй като опитите за пръскане на пароли се регистрират при неинтерактивни влизания, много екипи по сигурността не успяват да следят внимателно тези записи. Това позволява на нападателите да се промъкнат под радара, докато систематично се опитват да проникнат в акаунти.
SecurityScorecard също идентифицира командни и контролни сървъри в Съединените щати, които са комуникирали със 130 000 заразени устройства за период от четири часа. Тези устройства, вероятно част от по-голяма глобална мрежа, позволяват на нападателите да мащабират операциите си бързо.
Кой стои зад ботнета?
Въпреки че атаката е свързана с китайска заплашителна група, приписването остава текущо разследване. Този ботнет обаче споделя характеристики с идентифицираните по-рано китайски кампании за кибершпионаж.
По-специално, Microsoft съобщи през октомври 2024 г., че множество китайски заплахи са използвали откраднати идентификационни данни от мащабна операция за разпръскване на пароли. Тази кампания беше свързана с компрометирани мрежи, известни като CovertNetwork-1658, Xlogin и Quad7.
Как да защитите вашата организация
С този ботнет, насочен активно към Microsoft 365 акаунти, организациите трябва да предприемат незабавни стъпки за укрепване на тяхната сигурност:
- Деактивирайте основното удостоверяване, ако все още е активирано във вашата среда.
- Активирайте Modern Authentication и многофакторно удостоверяване за всички потребители, особено за неинтерактивни влизания.
- Наблюдавайте редовно неинтерактивните регистрационни файлове за влизане за необичайни модели на влизане.
- Използвайте силни, уникални пароли, за да предотвратите разпръскване на пароли чрез прилагане на строги правила за пароли и налагане на редовни промени.
- Внедрете решения за сигурност на крайни точки, за да се предпазите от злонамерен софтуер infostealer, който хакерите използват за събиране на идентификационни данни.
- Геоограничете достъпа до акаунти в Microsoft 365, ако е възможно, като ограничите влизанията въз основа на географски местоположения.
Последни мисли
Ботнетът със 130 000 устройства, насочен към Microsoft 365, е ярко напомняне, че базираните на пароли атаки все още са една от най-големите заплахи за киберсигурността днес. Тъй като много организации все още разчитат на остарели методи за удостоверяване, нападателите продължават да се възползват от тези слабости.
Чрез проактивно осигуряване на среди на Microsoft 365, наблюдение на необичайна дейност и прилагане на силни политики за удостоверяване, бизнесите могат да намалят риска да станат жертва на тази изключително сложна атака.