Masivni kineski botnet od 130.000 uređaja cilja na Microsoft 365 račune
Moćni botnet povezan s Kinom uhvaćen je u pokretanju velikih napada lozinkom protiv Microsoft 365 računa, čime su tvrtke i organizacije dovedene u ozbiljnu opasnost. Prema SecurityScorecardu, ovaj botnet pokreće nevjerojatnih 130.000 kompromitiranih uređaja, što ga čini jednom od najvećih cyber prijetnji te vrste.
Sadržaj
Kako funkcionira napad
Ovaj botnet iskorištava neinteraktivne prijave i osnovnu autentifikaciju, dvije slabe točke u sigurnosti Microsoft 365 koje napadačima omogućuju testiranje ukradenih vjerodajnica bez pokretanja višefaktorske autentifikacije u mnogim konfiguracijama.
Neinteraktivne prijave često se koriste za autentifikaciju od usluge do usluge i naslijeđene protokole kao što su POP, IMAP i SMTP, zbog čega ih sigurnosni timovi manje promatraju. Osnovna provjera autentičnosti, iako ju je Microsoft zastario, još uvijek je aktivna u nekim okruženjima, dopuštajući prijenos vjerodajnica u otvorenom tekstu — što je laka meta za hakere.
Botnet preuzima ukradena korisnička imena i lozinke, koje često prikuplja zlonamjerni softver infostealer, i sustavno ih testira na Microsoft 365 računima. Ako uspiju, napadači dobivaju pristup osjetljivim podacima, ometaju poslovne operacije i kreću se bočno unutar organizacije.
Zašto je ovaj napad teško otkriti
Jedan od najstrašnijih aspekata ovog napada je njegova prikrivenost. Budući da se pokušaji raspršivanja lozinki bilježe pod neinteraktivnim prijavama, mnogi sigurnosni timovi ne uspijevaju pomno pratiti te zapise. To omogućuje napadačima da prođu ispod radara dok sustavno pokušavaju provaliti u račune.
SecurityScorecard je također identificirao servere za upravljanje i kontrolu u Sjedinjenim Državama, koji su komunicirali sa 130.000 zaraženih uređaja tijekom četiri sata. Ovi uređaji, vjerojatno dio veće globalne mreže, omogućuju napadačima da brzo povećaju svoje operacije.
Tko stoji iza Botneta?
Iako je napad povezan s kineskom prijetnjom skupinom, pripisivanje je i dalje istraga u tijeku. Međutim, ovaj botnet dijeli karakteristike s prethodno identificiranim kineskim kampanjama kibernetičke špijunaže.
Naime, Microsoft je u listopadu 2024. izvijestio da je više kineskih aktera prijetnji koristilo ukradene vjerodajnice iz velike operacije raspršivanja lozinki. Ova je kampanja bila povezana s kompromitiranim mrežama poznatim kao CovertNetwork-1658, Xlogin i Quad7.
Kako zaštititi svoju organizaciju
Budući da ovaj botnet aktivno cilja Microsoft 365 račune, organizacije moraju odmah poduzeti korake za jačanje svoje sigurnosti:
- Onemogućite osnovnu provjeru autentičnosti ako je još uvijek omogućena u vašem okruženju.
- Omogućite modernu provjeru autentičnosti i provjeru autentičnosti s više faktora za sve korisnike, posebno za neinteraktivne prijave.
- Redovito nadzirite neinteraktivne zapisnike prijave radi neuobičajenih obrazaca prijave.
- Koristite snažne, jedinstvene lozinke kako biste spriječili raspršivanje lozinki implementacijom strogih pravila za lozinke i provođenjem redovitih promjena.
- Implementirajte sigurnosna rješenja krajnjih točaka za zaštitu od infostealer zlonamjernog softvera koji hakeri koriste za prikupljanje vjerodajnica.
- Geografski ograničite pristup Microsoft 365 računima ako je moguće, ograničavajući prijave na temelju geografskih lokacija.
Završne misli
Botnet sa 130.000 uređaja koji cilja Microsoft 365 snažan je podsjetnik da su napadi temeljeni na lozinkama još uvijek jedna od najvećih prijetnji kibernetičkoj sigurnosti danas. Budući da se mnoge organizacije još uvijek oslanjaju na zastarjele metode provjere autentičnosti, napadači nastavljaju iskorištavati te slabosti.
Proaktivnim osiguravanjem okruženja Microsoft 365, nadgledanjem neuobičajenih aktivnosti i provođenjem strogih pravila provjere autentičnosti, tvrtke mogu smanjiti rizik da postanu žrtve ovog visoko sofisticiranog napada.