רשת בוט סינית מסיבית של 130,000 מכשירים מכוונת לחשבונות Microsoft 365

רשת בוטנית חזקה המקושרת לסין נתפסה משיקה התקפות ריסוס סיסמאות בקנה מידה גדול נגד חשבונות Microsoft 365, מה שמעמיד עסקים וארגונים בסיכון רציני. על פי SecurityScorecard, הבוטנט הזה מופעל על ידי 130,000 מכשירים מדהימים, מה שהופך אותו לאחד מאיומי הסייבר הגדולים מסוגו.

כיצד פועלת המתקפה

רשת בוט זו מנצלת כניסות לא אינטראקטיביות ואימות בסיסי, שתי נקודות תורפה באבטחה של Microsoft 365 המאפשרות לתוקפים לבדוק אישורים גנובים מבלי להפעיל אימות רב-גורמי בתצורות רבות.

כניסות לא אינטראקטיביות משמשות לעתים קרובות עבור אימות שירות לשירות ופרוטוקולים מדור קודם כגון POP, IMAP ו-SMTP, מה שהופך אותם פחות לבדיקה על ידי צוותי אבטחה. אימות בסיסי, על אף שהוצא משימוש על ידי מיקרוסופט, עדיין פעיל בסביבות מסוימות, ומאפשר העברת אישורים בטקסט פשוט - מטרה קלה להאקרים.

הבוטנט לוקח שמות משתמש וסיסמאות גנובים, שנאספים לרוב על ידי תוכנות זדוניות של גנבי מידע, ובודק אותם באופן שיטתי מול חשבונות Microsoft 365. אם מצליחים, התוקפים מקבלים גישה לנתונים רגישים, משבשים את הפעילות העסקית ועוברים לרוחב בתוך ארגון.

מדוע קשה לזהות את ההתקפה הזו

אחד ההיבטים המפחידים של המתקפה הזו הוא ההתגנבות שלה. מכיוון שניסיונות ריסוס סיסמאות נרשמים בכניסות לא אינטראקטיביות, צוותי אבטחה רבים לא מצליחים לפקח מקרוב על הרשומות הללו. זה מאפשר לתוקפים לחמוק מתחת לרדאר בזמן שהם מנסים באופן שיטתי לפרוץ לחשבונות.

SecurityScorecard זיהה גם שרתי שליטה ובקרה בארצות הברית, שתקשרו עם 130,000 מכשירים נגועים במשך תקופה של ארבע שעות. מכשירים אלה, ככל הנראה חלק מרשת גלובלית גדולה יותר, מאפשרים לתוקפים להגדיל את פעולותיהם במהירות.

מי עומד מאחורי הבוטנט?

בעוד שהמתקפה נקשרה לקבוצת איומים סינית, ייחוס עדיין חקירה נמשכת. עם זאת, הבוטנט הזה חולק מאפיינים עם מסעות פרסום של ריגול סייבר סיניים שזוהו בעבר.

יש לציין כי מיקרוסופט דיווחה באוקטובר 2024 כי מספר רב של גורמי איומים סיניים השתמשו באישורים גנובים מפעולת ריסוס סיסמאות בקנה מידה גדול. מסע פרסום זה היה משויך לרשתות שנפרצות הידועות בשם CovertNetwork-1658, Xlogin ו-Quad7.

כיצד להגן על הארגון שלך

כאשר הבוטנט הזה מכוון באופן פעיל לחשבונות Microsoft 365, ארגונים חייבים לנקוט בצעדים מיידיים כדי לחזק את האבטחה שלהם:

• השבת את האימות הבסיסי אם הוא עדיין מופעל בסביבה שלך.
• אפשר אימות מודרני ואימות מרובה גורמים עבור כל המשתמשים, במיוחד עבור כניסות לא אינטראקטיביות.
• עקוב אחר יומני כניסה לא אינטראקטיביים באופן קבוע לאיתור דפוסי כניסה חריגים.
• השתמש בסיסמאות חזקות וייחודיות כדי למנוע ריסוס סיסמאות על ידי יישום מדיניות סיסמאות קפדנית ואכיפת שינויים קבועים.
• פרוס פתרונות אבטחה לנקודות קצה כדי להגן מפני תוכנות זדוניות של גנבי מידע שהאקרים משתמשים בהם כדי לאסוף אישורים.
• הגבל גיאוגרפי גישה לחשבונות Microsoft 365 במידת האפשר, הגבלת כניסות על סמך מיקומים גיאוגרפיים.

מחשבות אחרונות

רשת הבוטנט של 130,000 מכשירים המכוונת ל-Microsoft 365 היא תזכורת ברורה לכך שהתקפות מבוססות סיסמאות הן עדיין אחד מאיומי אבטחת הסייבר הגדולים ביותר כיום. מכיוון שארגונים רבים עדיין מסתמכים על שיטות אימות מיושנות, התוקפים ממשיכים לנצל את החולשות הללו.

על ידי אבטחה יזומה של סביבות Microsoft 365, ניטור פעילות חריגה ואכיפת מדיניות אימות חזקה, עסקים יכולים להפחית את הסיכון שלהם ליפול קורבן למתקפה מתוחכמת מאוד זו.