Masivní čínský botnet se 130 000 zařízeními cílí na účty Microsoft 365

V roce Mura v roce Počítačová bezpečnost

Přeložit do:

Výkonný botnet propojený s Čínou byl přistižen, jak spouští rozsáhlé útoky se sprejováním hesel na účty Microsoft 365, což vystavuje podniky a organizace vážnému riziku. Podle SecurityScorecard je tento botnet poháněn neuvěřitelných 130 000 napadených zařízení, což z něj činí jednu z největších kybernetických hrozeb svého druhu.

Obsah

Jak funguje útok

Tento botnet využívá neinteraktivní přihlášení a základní ověřování, dvě slabé stránky zabezpečení Microsoft 365, které útočníkům umožňují testovat odcizené přihlašovací údaje bez spouštění vícefaktorového ověřování v mnoha konfiguracích.

Neinteraktivní přihlášení se často používají pro ověřování mezi službami a starší protokoly, jako jsou POP, IMAP a SMTP, takže je bezpečnostní týmy méně kontrolují. Basic Authentication, i když je Microsoftem zavrženo, je v některých prostředích stále aktivní a umožňuje přenos přihlašovacích údajů v prostém textu – snadný cíl pro hackery.

Botnet bere ukradená uživatelská jména a hesla, často shromážděná malwarem infostealer, a systematicky je testuje proti účtům Microsoft 365. Pokud jsou úspěšní, útočníci získají přístup k citlivým datům, naruší obchodní operace a přesunou se laterálně v rámci organizace.

Proč je těžké tento útok odhalit

Jedním z nejděsivějších aspektů tohoto útoku je jeho utajení. Vzhledem k tomu, že pokusy o nanášení hesla jsou protokolovány pod neinteraktivními přihlášeními, mnoho bezpečnostních týmů tyto záznamy nesleduje pečlivě. To umožňuje útočníkům proklouznout pod radar, zatímco se systematicky snaží proniknout do účtů.

SecurityScorecard také identifikovala příkazové a řídicí servery ve Spojených státech, které během čtyř hodin komunikovaly se 130 000 infikovanými zařízeními. Tato zařízení, která jsou pravděpodobně součástí větší globální sítě, umožňují útočníkům rychle škálovat jejich operace.

Kdo stojí za botnetem?

I když byl útok spojen s čínskou hrozbou, připisování zůstává probíhajícím vyšetřováním. Tento botnet však sdílí charakteristiky s dříve identifikovanými čínskými kyberšpionážními kampaněmi.

Microsoft zejména v říjnu 2024 oznámil, že několik čínských aktérů hrozeb používá ukradené přihlašovací údaje z rozsáhlé operace sprejování hesel. Tato kampaň byla spojena s kompromitovanými sítěmi známými jako CovertNetwork-1658, Xlogin a Quad7.

Jak chránit vaši organizaci

Díky tomuto botnetu, který se aktivně zaměřuje na účty Microsoft 365, musí organizace podniknout okamžité kroky k posílení svého zabezpečení:

Zakažte základní ověřování, pokud je ve vašem prostředí stále povoleno.
Povolit moderní ověřování a vícefaktorové ověřování pro všechny uživatele, zejména pro neinteraktivní přihlašování.
Pravidelně sledujte neinteraktivní přihlašovací protokoly, zda neobsahují neobvyklé vzory přihlášení.
Používejte silná a jedinečná hesla, abyste zabránili šíření hesel implementací přísných zásad hesel a vynucováním pravidelných změn.
Nasaďte řešení zabezpečení koncových bodů na ochranu před malwarem infostealer, který hackeři používají ke shromažďování přihlašovacích údajů.
Pokud je to možné, geograficky omezte přístup k účtům Microsoft 365 a omezte přihlašování na základě zeměpisné polohy.

Závěrečné myšlenky

Botnet se 130 000 zařízeními zaměřený na Microsoft 365 je jasnou připomínkou toho, že útoky založené na heslech jsou stále jednou z největších kyberbezpečnostních hrozeb současnosti. Vzhledem k tomu, že mnoho organizací stále spoléhá na zastaralé metody ověřování, útočníci tyto slabiny nadále využívají.

Proaktivním zabezpečením prostředí Microsoft 365, sledováním neobvyklé aktivity a vynucováním přísných zásad ověřování mohou podniky snížit riziko, že se stanou obětí tohoto vysoce sofistikovaného útoku.

Procesor plateb společnosti EnigmaSoft Digital River GmbH Vyhlášení bankrotu nemá dopad na ochranu zákazníků SpyHunter proti malwaru

Vyhledávání

Změnit region