Massivt kinesisk botnet på 130.000 enheder retter sig mod Microsoft 365-konti
Et kraftfuldt Kina-linket botnet er blevet fanget i at lancere storstilede password-sprayangreb mod Microsoft 365-konti, hvilket sætter virksomheder og organisationer i alvorlig fare. Ifølge SecurityScorecard er dette botnet drevet af svimlende 130.000 kompromitterede enheder, hvilket gør det til en af de største cybertrusler af sin art.
Indholdsfortegnelse
Hvordan angrebet fungerer
Dette botnet udnytter ikke-interaktive log-ins og Basic Authentication, to svage punkter i Microsoft 365-sikkerhed, der gør det muligt for angribere at teste stjålne legitimationsoplysninger uden at udløse multi-faktor-godkendelse i mange konfigurationer.
Ikke-interaktive log-ins bruges ofte til service-to-service-godkendelse og ældre protokoller såsom POP, IMAP og SMTP, hvilket gør dem mindre undersøgte af sikkerhedsteams. Grundlæggende godkendelse, selvom den er forældet af Microsoft, er stadig aktiv i nogle miljøer, hvilket gør det muligt at overføre legitimationsoplysninger i almindelig tekst - et let mål for hackere.
Botnettet tager stjålne brugernavne og adgangskoder, ofte indsamlet af infostealer-malware, og tester dem systematisk mod Microsoft 365-konti. Hvis det lykkes, får angribere adgang til følsomme data, forstyrrer forretningsdriften og bevæger sig sideværts inden for en organisation.
Hvorfor dette angreb er svært at opdage
Et af de mest skræmmende aspekter af dette angreb er dets stealth. Da forsøg med adgangskodesprøjtning er logget under ikke-interaktive logins, undlader mange sikkerhedsteams at overvåge disse registreringer nøje. Dette gør det muligt for angribere at glide under radaren, mens de systematisk forsøger at bryde ind på konti.
SecurityScorecard identificerede også kommando- og kontrolservere i USA, som kommunikerede med 130.000 inficerede enheder over en periode på fire timer. Disse enheder, sandsynligvis en del af et større globalt netværk, gør det muligt for angriberne at skalere deres operationer hurtigt.
Hvem står bag botnettet?
Selvom angrebet har været forbundet med en kinesisk trusselsgruppe, er tilskrivning fortsat en igangværende efterforskning. Dette botnet deler dog karakteristika med tidligere identificerede kinesiske cyberspionagekampagner.
Navnlig rapporterede Microsoft i oktober 2024, at flere kinesiske trusselsaktører brugte stjålne legitimationsoplysninger fra en storstilet adgangskodesprøjtning. Denne kampagne var forbundet med kompromitterede netværk kendt som CovertNetwork-1658, Xlogin og Quad7.
Sådan beskytter du din organisation
Med dette botnet aktivt målrettet mod Microsoft 365-konti, skal organisationer tage øjeblikkelige skridt for at styrke deres sikkerhed:
- Deaktiver Basic Authentication, hvis det stadig er aktiveret i dit miljø.
- Aktiver moderne godkendelse og multifaktorgodkendelse for alle brugere, især for ikke-interaktive logins.
- Overvåg ikke-interaktive login-logfiler regelmæssigt for usædvanlige login-mønstre.
- Brug stærke, unikke adgangskoder til at forhindre adgangskodespray ved at implementere strenge adgangskodepolitikker og håndhæve regelmæssige ændringer.
- Implementer slutpunktsikkerhedsløsninger for at beskytte mod infostealer-malware, som hackere bruger til at indsamle legitimationsoplysninger.
- Geo-begræns adgangen til Microsoft 365-konti, hvis det er muligt, og begrænser logins baseret på geografiske placeringer.
Afsluttende tanker
Botnet på 130.000 enheder rettet mod Microsoft 365 er en skarp påmindelse om, at adgangskodebaserede angreb stadig er en af de største cybersikkerhedstrusler i dag. Med mange organisationer, der stadig er afhængige af forældede godkendelsesmetoder, fortsætter angriberne med at udnytte disse svagheder.
Ved proaktivt at sikre Microsoft 365-miljøer, overvåge usædvanlig aktivitet og håndhæve stærke autentificeringspolitikker kan virksomheder reducere deres risiko for at blive ofre for dette meget sofistikerede angreb.