Τεράστιο κινεζικό botnet 130.000 συσκευών στοχεύει λογαριασμούς Microsoft 365

Μέχρι το Mura το Ασφάλεια Υπολογιστών

Μετάφραση σε:

Ένα ισχυρό botnet που συνδέεται με την Κίνα έχει πιαστεί να εξαπολύει μεγάλης κλίμακας επιθέσεις ψεκασμού κωδικών πρόσβασης εναντίον λογαριασμών Microsoft 365, θέτοντας επιχειρήσεις και οργανισμούς σε σοβαρό κίνδυνο. Σύμφωνα με το SecurityScorecard, αυτό το botnet τροφοδοτείται από 130.000 παραβιασμένες συσκευές, καθιστώντας το μια από τις μεγαλύτερες απειλές στον κυβερνοχώρο του είδους του.

Πίνακας περιεχομένων

Πώς λειτουργεί η επίθεση

Αυτό το botnet εκμεταλλεύεται τις μη διαδραστικές συνδέσεις και τον Βασικό έλεγχο ταυτότητας, δύο αδύναμα σημεία στην ασφάλεια του Microsoft 365 που επιτρέπουν στους εισβολείς να δοκιμάσουν κλεμμένα διαπιστευτήρια χωρίς να ενεργοποιούν τον έλεγχο ταυτότητας πολλαπλών παραγόντων σε πολλές διαμορφώσεις.

Οι μη αλληλεπιδραστικές συνδέσεις χρησιμοποιούνται συχνά για έλεγχο ταυτότητας από υπηρεσία σε υπηρεσία και πρωτόκολλα παλαιού τύπου, όπως POP, IMAP και SMTP, με αποτέλεσμα να ελέγχονται λιγότερο από τις ομάδες ασφαλείας. Ο Βασικός Έλεγχος ταυτότητας, αν και έχει καταργηθεί από τη Microsoft, εξακολουθεί να είναι ενεργός σε ορισμένα περιβάλλοντα, επιτρέποντας τη μετάδοση των διαπιστευτηρίων σε απλό κείμενο—ένας εύκολος στόχος για τους χάκερ.

Το botnet λαμβάνει κλεμμένα ονόματα χρήστη και κωδικούς πρόσβασης, που συχνά συλλέγονται από κακόβουλο λογισμικό infostealer, και τα δοκιμάζει συστηματικά σε λογαριασμούς Microsoft 365. Εάν είναι επιτυχής, οι εισβολείς αποκτούν πρόσβαση σε ευαίσθητα δεδομένα, διακόπτουν τις επιχειρηματικές δραστηριότητες και μετακινούνται πλευρικά μέσα σε έναν οργανισμό.

Γιατί είναι δύσκολο να εντοπιστεί αυτή η επίθεση

Μία από τις πιο τρομακτικές πτυχές αυτής της επίθεσης είναι το stealth της. Δεδομένου ότι οι προσπάθειες ψεκασμού κωδικού πρόσβασης καταγράφονται σε μη διαδραστικές συνδέσεις, πολλές ομάδες ασφαλείας αποτυγχάνουν να παρακολουθήσουν στενά αυτές τις εγγραφές. Αυτό επιτρέπει στους επιτιθέμενους να γλιστρήσουν κάτω από το ραντάρ ενώ προσπαθούν συστηματικά να εισβάλουν σε λογαριασμούς.

Η SecurityScorecard εντόπισε επίσης διακομιστές εντολών και ελέγχου στις Ηνωμένες Πολιτείες, οι οποίοι επικοινωνούσαν με 130.000 μολυσμένες συσκευές σε διάστημα τεσσάρων ωρών. Αυτές οι συσκευές, πιθανότατα μέρος ενός μεγαλύτερου παγκόσμιου δικτύου, επιτρέπουν στους εισβολείς να κλιμακώσουν γρήγορα τις δραστηριότητές τους.

Ποιος είναι πίσω από το Botnet;

Αν και η επίθεση έχει συνδεθεί με μια κινεζική ομάδα απειλών, η απόδοση της επίθεσης παραμένει μια συνεχιζόμενη έρευνα. Ωστόσο, αυτό το botnet έχει κοινά χαρακτηριστικά με κινεζικές καμπάνιες κυβερνοκατασκοπείας που είχαν εντοπιστεί στο παρελθόν.

Συγκεκριμένα, η Microsoft ανέφερε τον Οκτώβριο του 2024 ότι πολλοί Κινέζοι παράγοντες απειλών χρησιμοποιούσαν κλεμμένα διαπιστευτήρια από μια μεγάλης κλίμακας επιχείρηση ψεκασμού κωδικών πρόσβασης. Αυτή η καμπάνια συσχετίστηκε με παραβιασμένα δίκτυα γνωστά ως CovertNetwork-1658, Xlogin και Quad7.

Πώς να προστατέψετε τον οργανισμό σας

Με αυτό το botnet να στοχεύει ενεργά λογαριασμούς Microsoft 365, οι οργανισμοί πρέπει να λάβουν άμεσα μέτρα για να ενισχύσουν την ασφάλειά τους:

Απενεργοποιήστε τον Βασικό έλεγχο ταυτότητας εάν εξακολουθεί να είναι ενεργοποιημένος στο περιβάλλον σας.
Ενεργοποιήστε τον σύγχρονο έλεγχο ταυτότητας και τον έλεγχο ταυτότητας πολλαπλών παραγόντων για όλους τους χρήστες, ειδικά για μη διαδραστικές συνδέσεις.
Παρακολουθήστε τακτικά μη διαδραστικά αρχεία καταγραφής σύνδεσης για ασυνήθιστα μοτίβα σύνδεσης.
Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης για να αποτρέψετε τον ψεκασμό κωδικών πρόσβασης εφαρμόζοντας αυστηρές πολιτικές κωδικών πρόσβασης και επιβάλλοντας τακτικές αλλαγές.
Αναπτύξτε λύσεις ασφάλειας τελικού σημείου για προστασία από κακόβουλο λογισμικό κλοπής πληροφοριών που χρησιμοποιούν οι χάκερ για τη συλλογή διαπιστευτηρίων.
Περιορίστε γεωγραφικά την πρόσβαση σε λογαριασμούς Microsoft 365 εάν είναι δυνατόν, περιορίζοντας τις συνδέσεις βάσει γεωγραφικών τοποθεσιών.

Τελικές Σκέψεις

Το botnet 130.000 συσκευών που στοχεύει το Microsoft 365 είναι μια έντονη υπενθύμιση ότι οι επιθέσεις με κωδικό πρόσβασης εξακολουθούν να είναι μία από τις μεγαλύτερες απειλές για την ασφάλεια στον κυβερνοχώρο σήμερα. Καθώς πολλοί οργανισμοί εξακολουθούν να βασίζονται σε απαρχαιωμένες μεθόδους ελέγχου ταυτότητας, οι εισβολείς συνεχίζουν να εκμεταλλεύονται αυτές τις αδυναμίες.

Με την προληπτική ασφάλεια των περιβαλλόντων του Microsoft 365, την παρακολούθηση της ασυνήθιστης δραστηριότητας και την επιβολή ισχυρών πολιτικών ελέγχου ταυτότητας, οι επιχειρήσεις μπορούν να μειώσουν τον κίνδυνο να πέσουν θύματα αυτής της εξαιρετικά εξελιγμένης επίθεσης.

Ο Επεξεργαστής Πληρωμών της EnigmaSoft Digital River GmbH Η υποβολή αίτησης για πτώχευση δεν επηρεάζει την προστασία κατά του κακόβουλου λογισμικού των πελατών του SpyHunter

Αναζήτηση

Αλλαγή Περιοχής