Milzīgs ķīniešu robottīkls ar 130 000 ierīču ir paredzēts Microsoft 365 kontiem
Spēcīgs ar Ķīnu saistīts robottīkls ir pieķerts, uzsākot liela mēroga paroles izsmidzināšanas uzbrukumus Microsoft 365 kontiem, pakļaujot uzņēmumus un organizācijas nopietnam riskam. Saskaņā ar SecurityScorecard datiem šo robottīklu nodrošina satriecoši 130 000 apdraudētu ierīču, padarot to par vienu no lielākajiem šāda veida kiberdraudiem.
Satura rādītājs
Kā darbojas uzbrukums
Šis robottīkls izmanto neinteraktīvu pierakstīšanos un pamata autentifikāciju — divus Microsoft 365 drošības vājos punktus, kas ļauj uzbrucējiem pārbaudīt nozagtos akreditācijas datus, neaktivizējot daudzfaktoru autentifikāciju daudzās konfigurācijās.
Neinteraktīvās pierakstīšanās bieži tiek izmantotas autentifikācijai starp pakalpojumiem un mantotajiem protokoliem, piemēram, POP, IMAP un SMTP, tādējādi drošības komandas tos mazāk pārbauda. Pamata autentifikācija, lai gan Microsoft to ir novecojusi, dažās vidēs joprojām ir aktīva, ļaujot akreditācijas datus pārsūtīt vienkāršā tekstā — tas ir vienkāršs hakeru mērķis.
Robottīkls ņem nozagtus lietotājvārdus un paroles, ko bieži savāc ļaunprogrammatūra infostealer, un sistemātiski pārbauda tos pret Microsoft 365 kontiem. Ja tas izdodas, uzbrucēji iegūst piekļuvi sensitīviem datiem, traucē uzņēmējdarbību un pārvietojas uz sāniem organizācijas ietvaros.
Kāpēc šo uzbrukumu ir grūti noteikt
Viens no šī uzbrukuma baisākajiem aspektiem ir tā slepenība. Tā kā paroles izsmidzināšanas mēģinājumi tiek reģistrēti, izmantojot neinteraktīvu pierakstīšanos, daudzas drošības komandas nespēj rūpīgi pārraudzīt šos ierakstus. Tas ļauj uzbrucējiem paslīdēt zem radara, kamēr viņi sistemātiski mēģina uzlauzt kontus.
SecurityScorecard arī identificēja komandu un kontroles serverus Amerikas Savienotajās Valstīs, kas četru stundu laikā sazinājās ar 130 000 inficētu ierīču. Šīs ierīces, kas, iespējams, ir daļa no lielāka globālā tīkla, ļauj uzbrucējiem ātri mērogot savas darbības.
Kas stāv aiz robottīkla?
Lai gan uzbrukums ir saistīts ar Ķīnas draudu grupu, attiecināšana joprojām tiek izmeklēta. Tomēr šim robottīklam ir kopīgas iezīmes ar iepriekš identificētajām Ķīnas kiberspiegošanas kampaņām.
Proti, Microsoft 2024. gada oktobrī ziņoja, ka vairāki Ķīnas apdraudējumu dalībnieki izmantoja nozagtus akreditācijas datus liela mēroga paroles izsmidzināšanas operācijā. Šī kampaņa bija saistīta ar apdraudētiem tīkliem, kas pazīstami kā CovertNetwork-1658, Xlogin un Quad7.
Kā aizsargāt savu organizāciju
Tā kā šis robottīkls aktīvi mērķēts uz Microsoft 365 kontiem, organizācijām nekavējoties jāveic darbības, lai stiprinātu savu drošību.
- Atspējojiet pamata autentifikāciju, ja tā joprojām ir iespējota jūsu vidē.
- Iespējojiet moderno autentifikāciju un vairāku faktoru autentifikāciju visiem lietotājiem, jo īpaši neinteraktīvai pierakstīšanās gadījumos.
- Regulāri pārraugiet neinteraktīvos pierakstīšanās žurnālus, lai atklātu neparastus pieteikšanās modeļus.
- Izmantojiet spēcīgas, unikālas paroles, lai novērstu paroļu izsmidzināšanu, ieviešot stingras paroļu politikas un ieviešot regulāras izmaiņas.
- Ieviesiet galapunkta drošības risinājumus, lai aizsargātu pret informācijas zagšanas ļaunprātīgu programmatūru, ko hakeri izmanto akreditācijas datu vākšanai.
- Ja iespējams, ģeogrāfiski ierobežojiet piekļuvi Microsoft 365 kontiem, ierobežojot pieteikšanos, pamatojoties uz ģeogrāfiskajām atrašanās vietām.
Pēdējās domas
130 000 ierīču robottīkls, kura mērķauditorija ir Microsoft 365, ir spilgts atgādinājums, ka uz paroli balstīti uzbrukumi joprojām ir viens no lielākajiem kiberdrošības draudiem mūsdienās. Tā kā daudzas organizācijas joprojām paļaujas uz novecojušām autentifikācijas metodēm, uzbrucēji turpina izmantot šīs nepilnības.
Proaktīvi nodrošinot Microsoft 365 vides drošību, uzraugot neparastas darbības un ieviešot spēcīgas autentifikācijas politikas, uzņēmumi var samazināt risku kļūt par šī ļoti sarežģītā uzbrukuma upuriem.