130 000 seadmest koosnev tohutu Hiina robotvõrk sihib Microsoft 365 kontosid

Aastaks Mura aastal Arvuti turvalisus

Tõlgi:

Võimas Hiinaga seotud botnet on tabatud laiaulatuslike paroolide pihustamise rünnakute käivitamisel Microsoft 365 kontode vastu, seades ettevõtted ja organisatsioonid tõsisesse ohtu. SecurityScorecardi andmetel toidab seda botnetti hämmastavalt 130 000 ohustatud seadet, mis teeb sellest ühe suurima omataolise küberohu.

Sisukord

Kuidas rünnak töötab

See botnet kasutab mitteinteraktiivseid sisselogimisi ja põhiautentimist – kahte nõrka kohta Microsoft 365 turvalisuses, mis võimaldavad ründajatel testida varastatud mandaate, käivitamata paljudes konfiguratsioonides mitmefaktorilist autentimist.

Mitteinteraktiivseid sisselogimisi kasutatakse sageli teenustevahelise autentimise ja pärandprotokollide (nt POP, IMAP ja SMTP) jaoks, muutes need turvameeskondade poolt vähem kontrollitavaks. Kuigi Microsofti poolt on põhiautentimine aegunud, on see mõnes keskkonnas endiselt aktiivne, võimaldades mandaate edastada lihttekstina – häkkerite jaoks lihtne sihtmärk.

Botivõrk võtab varastatud kasutajanimed ja paroolid, mille on sageli kogunud infostealeri pahavara, ning testib neid süstemaatiliselt Microsoft 365 kontode suhtes. Edu korral pääsevad ründajad ligi tundlikele andmetele, häirivad äritegevust ja liiguvad organisatsioonis külgsuunas.

Miks seda rünnakut on raske tuvastada

Selle rünnaku üks hirmutavamaid aspekte on selle vargus. Kuna parooli pritsimise katsed logitakse sisse mitteinteraktiivsete sisselogimiste all, ei suuda paljud turvameeskonnad neid kirjeid tähelepanelikult jälgida. See võimaldab ründajatel radari alla libiseda, kui nad üritavad süstemaatiliselt kontodele sisse murda.

SecurityScorecard tuvastas ka Ameerika Ühendriikides käsu- ja juhtimisservereid, mis suhtlesid nelja tunni jooksul 130 000 nakatunud seadmega. Need seadmed, mis on tõenäoliselt osa suuremast globaalsest võrgust, võimaldavad ründajatel oma toiminguid kiiresti laiendada.

Kes on robotivõrgu taga?

Kuigi rünnak on seotud Hiina ohurühmaga, on omistamine endiselt pooleli. Sellel robotvõrgul on aga sarnased tunnused varem tuvastatud Hiina küberspionaažikampaaniatega.

Nimelt teatas Microsoft 2024. aasta oktoobris, et mitmed Hiina ohus osalejad kasutasid laiaulatusliku paroolide pihustamise operatsiooni käigus varastatud mandaate. See kampaania oli seotud ohustatud võrkudega, mida tuntakse nimetustena CovertNetwork-1658, Xlogin ja Quad7.

Kuidas kaitsta oma organisatsiooni

Kuna see botnet sihib aktiivselt Microsoft 365 kontosid, peavad organisatsioonid astuma viivitamatult samme oma turvalisuse tugevdamiseks.

Keelake põhiautentimine, kui see on teie keskkonnas endiselt lubatud.
Lubage kaasaegne autentimine ja mitmefaktoriline autentimine kõigile kasutajatele, eriti mitteinteraktiivsete sisselogimiste puhul.
Jälgige korrapäraselt mitteinteraktiivseid sisselogimisloge ebatavaliste sisselogimismustrite suhtes.
Kasutage tugevaid unikaalseid paroole, et vältida paroolide levitamist, rakendades rangeid paroolipoliitikaid ja jõustades regulaarseid muudatusi.
Juurutage lõpp-punkti turbelahendusi, et kaitsta end infostealeri pahavara eest, mida häkkerid kasutavad mandaatide kogumiseks.
Võimaluse korral piirake juurdepääsu Microsoft 365 kontodele geograafiliselt, piirates sisselogimisi geograafiliste asukohtade alusel.

Viimased Mõtted

Microsoft 365-le sihitud 130 000 seadmest koosnev botnet tuletab meelde, et paroolipõhised rünnakud on tänapäeval endiselt üks suurimaid küberturvalisuse ohte. Kuna paljud organisatsioonid toetuvad endiselt aegunud autentimismeetoditele, kasutavad ründajad neid nõrkusi jätkuvalt.

Microsoft 365 keskkondade ennetava turvalisuse, ebatavalise tegevuse jälgimise ja tugevate autentimispoliitikate jõustamise abil saavad ettevõtted vähendada ohtu sattuda selle ülimalt keeruka rünnaku ohvriks.

EnigmaSofti makseprotsessor Digital River GmbH pankrotiavalduse esitamine ei mõjuta SpyHunteri klientide pahavaravastast kaitset

Otsing

Vaheta piirkonda