Több licencre vonatkozó kedvezményes árajánlat
Számítógépes biztonság 130 000 eszközből álló hatalmas kínai botnet célozza meg...

130 000 eszközből álló hatalmas kínai botnet célozza meg a Microsoft 365-fiókokat

Mura -ra Számítógépes biztonság-ben
Fordítás ide:
Magyar

Egy erős, Kínához kapcsolódó botnetet kaptak, amint nagyszabású, jelszóval szórható támadásokat indított Microsoft 365-fiókok ellen, komoly veszélybe sodorva ezzel vállalkozásokat és szervezeteket. A SecurityScorecard szerint ezt a botnetet elképesztően 130 000 kompromittált eszköz táplálja, így ez az egyik legnagyobb ilyen típusú kiberfenyegetés.

Hogyan működik a támadás

Ez a botnet kihasználja a nem interaktív bejelentkezéseket és az alapszintű hitelesítést, a Microsoft 365 biztonságának két gyenge pontját, amelyek lehetővé teszik a támadók számára az ellopott hitelesítő adatok tesztelését anélkül, hogy számos konfigurációban többtényezős hitelesítést váltana ki.

A nem interaktív bejelentkezéseket gyakran használják a szolgáltatások közötti hitelesítéshez és az olyan régebbi protokollokhoz, mint a POP, IMAP és SMTP, így a biztonsági csapatok kevésbé vizsgálják őket. Az alapszintű hitelesítés, bár a Microsoft elavult, bizonyos környezetekben továbbra is aktív, lehetővé téve a hitelesítő adatok egyszerű szöveges továbbítását – ez könnyű célpont a hackerek számára.

A botnet felveszi az ellopott felhasználóneveket és jelszavakat, amelyeket gyakran infostealer rosszindulatú programok gyűjtenek össze, és szisztematikusan teszteli őket Microsoft 365-fiókokkal szemben. Siker esetén a támadók hozzáférnek érzékeny adatokhoz, megzavarják az üzleti tevékenységet, és oldalirányban mozognak a szervezeten belül.

Miért nehéz felismerni ezt a támadást?

Ennek a támadásnak az egyik legfélelmetesebb aspektusa a lopakodás. Mivel a jelszópermetezési kísérletek naplózása nem interaktív bejelentkezés alatt történik, sok biztonsági csapat nem figyeli szorosan ezeket a rekordokat. Ez lehetővé teszi, hogy a támadók a radar alá csússzanak, miközben szisztematikusan megpróbálnak betörni a fiókokba.

A SecurityScorecard az Egyesült Államokban is azonosított parancsnoki és vezérlőszervereket, amelyek négy óra alatt 130 000 fertőzött eszközzel kommunikáltak. Ezek az eszközök, amelyek valószínűleg egy nagyobb globális hálózat részét képezik, lehetővé teszik a támadók számára, hogy gyorsan méretezzék műveleteiket.

Ki áll a botnet mögött?

Noha a támadást egy kínai fenyegető csoporthoz hozták összefüggésbe, a tulajdonítás még folyamatban lévő nyomozás. Ez a botnet azonban megegyezik a korábban azonosított kínai kiberkémkampányokkal.

Nevezetesen, a Microsoft 2024 októberében arról számolt be, hogy több kínai fenyegetettség szereplője lopott hitelesítő adatokat használt fel egy nagyszabású jelszószóró művelet során. Ez a kampány CovertNetwork-1658, Xlogin és Quad7 néven ismert hálózatokhoz volt társítva.

Hogyan védje meg szervezetét

Mivel ez a botnet aktívan megcélozza a Microsoft 365-fiókokat, a szervezeteknek azonnali lépéseket kell tenniük biztonságuk megerősítése érdekében:

  • Tiltsa le az alapszintű hitelesítést, ha még mindig engedélyezve van a környezetében.
  • Engedélyezze a modern hitelesítést és a többtényezős hitelesítést minden felhasználó számára, különösen a nem interaktív bejelentkezések esetén.
  • Rendszeresen figyelje a nem interaktív bejelentkezési naplókat szokatlan bejelentkezési minták miatt.
  • Használjon erős, egyedi jelszavakat, hogy megakadályozza a jelszavak szórását szigorú jelszószabályok bevezetésével és a rendszeres változtatások végrehajtásával.
  • Vezessen be végponti biztonsági megoldásokat az információlopó rosszindulatú programok ellen, amelyeket a hackerek használnak a hitelesítő adatok gyűjtésére.
  • Ha lehetséges, korlátozza földrajzilag a hozzáférést a Microsoft 365-fiókokhoz, korlátozva a bejelentkezéseket a földrajzi hely alapján.

Végső gondolatok

A Microsoft 365-öt célzó 130 000 eszközből álló botnet határozottan emlékeztet arra, hogy a jelszó alapú támadások ma is az egyik legnagyobb kiberbiztonsági fenyegetés. Mivel sok szervezet továbbra is elavult hitelesítési módszerekre támaszkodik, a támadók továbbra is kihasználják ezeket a gyengeségeket.

A Microsoft 365 környezetek proaktív biztosításával, a szokatlan tevékenységek figyelésével és az erős hitelesítési szabályzatok betartatásával a vállalkozások csökkenthetik annak kockázatát, hogy ennek a rendkívül kifinomult támadásnak az áldozatává váljanak.

Betöltés...