Monen lisenssin alennustarjous
Tietokoneturva Massiivinen kiinalainen 130 000 laitteen bottiverkko...

Massiivinen kiinalainen 130 000 laitteen bottiverkko kohdistuu Microsoft 365 -tileihin

Vuonna Mura vuonna Tietokoneturva
Käännä:
Suomi

Tehokas Kiinaan linkitetty botnet on jäänyt kiinni käynnistämästä laajamittaisia salasanojen ruiskutushyökkäyksiä Microsoft 365 -tilejä vastaan, mikä asettaa yritykset ja organisaatiot vakavaan vaaraan. SecurityScorecardin mukaan tätä bottiverkkoa ruokkii hämmästyttävät 130 000 vaarantunutta laitetta, mikä tekee siitä yhden lajissaan suurimmista kyberuhkista.

Kuinka hyökkäys toimii

Tämä botnet hyödyntää ei-vuorovaikutteisia kirjautumisia ja perustodennusta, kaksi Microsoft 365 -suojauksen heikkoa kohtaa, joiden avulla hyökkääjät voivat testata varastettuja tunnistetietoja käynnistämättä monitekijätodennusta monissa kokoonpanoissa.

Ei-interaktiivisia kirjautumisia käytetään usein palveluiden väliseen todentamiseen ja vanhoihin protokolliin, kuten POP, IMAP ja SMTP, mikä tekee niistä vähemmän tietoturvatiimien tarkastamassa. Vaikka Microsoft on poistanut sen käytöstä, Basic Authentication on edelleen aktiivinen joissakin ympäristöissä, mikä mahdollistaa valtuustietojen välittämisen selkeänä tekstinä – helppo kohde hakkereille.

Bottiverkko ottaa varastetut käyttäjätunnukset ja salasanat, jotka usein keräävät infostealer-haittaohjelmat, ja testaa niitä järjestelmällisesti Microsoft 365 -tilejä vastaan. Menestyessään hyökkääjät pääsevät käsiksi arkaluontoisiin tietoihin, häiritsevät liiketoimintaa ja liikkuvat sivusuunnassa organisaation sisällä.

Miksi tätä hyökkäystä on vaikea havaita

Yksi tämän hyökkäyksen pelottavimmista puolista on sen varkain. Koska salasanan ruiskutusyritykset kirjataan ei-vuorovaikutteisten kirjautumisten alla, monet turvallisuustiimit eivät valvo näitä tietueita tarkasti. Tämän ansiosta hyökkääjät voivat liukua tutkan alle yrittäessään systemaattisesti murtautua tileille.

SecurityScorecard tunnisti myös Yhdysvalloissa komento- ja ohjauspalvelimia, jotka kommunikoivat 130 000 tartunnan saaneen laitteen kanssa neljän tunnin aikana. Nämä laitteet, jotka ovat todennäköisesti osa suurempaa globaalia verkkoa, antavat hyökkääjille mahdollisuuden skaalata toimintaansa nopeasti.

Kuka on botnetin takana?

Vaikka hyökkäys on liitetty kiinalaiseen uhkaryhmään, syyksi johtamista tutkitaan edelleen. Tällä bottiverkolla on kuitenkin samat ominaisuudet kuin aiemmin tunnistetuissa Kiinan kybervakoilukampanjoissa.

Microsoft ilmoitti lokakuussa 2024, että useat kiinalaiset uhkatoimijat käyttivät varastettuja valtuustietoja laajamittainen salasanojen ruiskutusoperaatiosta. Tämä kampanja liitettiin vaarantuneisiin verkkoihin, jotka tunnetaan nimellä CovertNetwork-1658, Xlogin ja Quad7.

Kuinka suojella organisaatiotasi

Kun tämä bottiverkko on kohdistettu aktiivisesti Microsoft 365 -tileihin, organisaatioiden on ryhdyttävä välittömiin toimenpiteisiin turvallisuuden parantamiseksi:

  • Poista perustodennus käytöstä, jos se on edelleen käytössä ympäristössäsi.
  • Ota moderni todennus ja monivaiheinen todennus käyttöön kaikille käyttäjille, erityisesti ei-interaktiivisille kirjautumisille.
  • Tarkkaile ei-interaktiivisia kirjautumislokeja säännöllisesti epätavallisten kirjautumismallien varalta.
  • Käytä vahvoja, ainutlaatuisia salasanoja estääksesi salasanojen leviämisen ottamalla käyttöön tiukat salasanakäytännöt ja pakottamalla säännölliset muutokset voimaan.
  • Ota käyttöön päätepisteiden suojausratkaisuja suojautuaksesi tietovarastajien haittaohjelmilta, joita hakkerit käyttävät kirjautumistietojen keräämiseen.
  • Rajoita maantieteellisesti pääsyä Microsoft 365 -tileihin, jos mahdollista, rajoittamalla kirjautumisia maantieteellisten sijaintien perusteella.

Viimeisiä ajatuksia

Microsoft 365:een kohdistettu 130 000 laitteen bottiverkko on jyrkkä muistutus siitä, että salasanaan perustuvat hyökkäykset ovat edelleen yksi suurimmista kyberturvallisuusuhkista nykyään. Koska monet organisaatiot luottavat edelleen vanhentuneisiin todennusmenetelmiin, hyökkääjät käyttävät edelleen näitä heikkouksia hyväkseen.

Suojaamalla Microsoft 365 -ympäristöt ennakoivasti, valvomalla epätavallisia toimintoja ja pakottamalla käyttöön vahvoja todennuskäytäntöjä yritykset voivat vähentää riskiään joutua tämän erittäin kehittyneen hyökkäyksen uhriksi.

Ladataan...