Massivt kinesisk botnett på 130 000 enheter retter seg mot Microsoft 365-kontoer

Med Mura i Datasikkerhet

Oversett til:

Et kraftig Kina-tilknyttet botnett har blitt fanget i å lansere storskala passordsprøyteangrep mot Microsoft 365-kontoer, noe som setter bedrifter og organisasjoner i alvorlig fare. I følge SecurityScorecard er dette botnettet drevet av svimlende 130 000 kompromitterte enheter, noe som gjør det til en av de største cybertruslene i sitt slag.

Innholdsfortegnelse

Hvordan angrepet fungerer

Dette botnettet utnytter ikke-interaktive pålogginger og grunnleggende autentisering, to svake punkter i Microsoft 365-sikkerhet som lar angripere teste stjålne legitimasjon uten å utløse multifaktorautentisering i mange konfigurasjoner.

Ikke-interaktive pålogginger brukes ofte til tjeneste-til-tjeneste-autentisering og eldre protokoller som POP, IMAP og SMTP, noe som gjør dem mindre gransket av sikkerhetsteam. Grunnleggende autentisering, selv om den er avviklet av Microsoft, er fortsatt aktiv i enkelte miljøer, slik at legitimasjon kan overføres i ren tekst – et enkelt mål for hackere.

Botnettet tar stjålne brukernavn og passord, ofte samlet inn av infostealer malware, og tester dem systematisk mot Microsoft 365-kontoer. Hvis det lykkes, får angripere tilgang til sensitive data, forstyrrer forretningsdriften og beveger seg sideveis i en organisasjon.

Hvorfor dette angrepet er vanskelig å oppdage

En av de skumleste aspektene ved dette angrepet er dets sniking. Siden passordsprayforsøk logges under ikke-interaktive pålogginger, klarer mange sikkerhetsteam ikke å overvåke disse postene nøye. Dette gjør at angripere kan skli under radaren mens de systematisk prøver å bryte seg inn på kontoer.

SecurityScorecard identifiserte også kommando- og kontrollservere i USA, som kommuniserte med 130 000 infiserte enheter over en fire timers periode. Disse enhetene, sannsynligvis en del av et større globalt nettverk, gjør det mulig for angriperne å skalere operasjonene sine raskt.

Hvem står bak botnettet?

Selv om angrepet har vært knyttet til en kinesisk trusselgruppe, er attribusjon fortsatt en pågående etterforskning. Imidlertid deler dette botnettet kjennetegn med tidligere identifiserte kinesiske cyberspionasjekampanjer.

Spesielt rapporterte Microsoft i oktober 2024 at flere kinesiske trusselaktører brukte stjålet legitimasjon fra en storstilt passordsprayoperasjon. Denne kampanjen var assosiert med kompromitterte nettverk kjent som CovertNetwork-1658, Xlogin og Quad7.

Hvordan beskytte organisasjonen din

Med dette botnettet aktivt rettet mot Microsoft 365-kontoer, må organisasjoner ta umiddelbare skritt for å styrke sikkerheten:

Deaktiver grunnleggende autentisering hvis den fortsatt er aktivert i miljøet ditt.
Aktiver moderne autentisering og multifaktorautentisering for alle brukere, spesielt for ikke-interaktive pålogginger.
Overvåk ikke-interaktive påloggingslogger regelmessig for uvanlige påloggingsmønstre.
Bruk sterke, unike passord for å forhindre spraying av passord ved å implementere strenge passordpolicyer og håndheve regelmessige endringer.
Distribuer endepunktsikkerhetsløsninger for å beskytte mot infostealer malware som hackere bruker for å samle legitimasjon.
Geobegrens tilgang til Microsoft 365-kontoer hvis mulig, og begrense pålogginger basert på geografiske steder.

Siste tanker

Botnettet på 130 000 enheter rettet mot Microsoft 365 er en sterk påminnelse om at passordbaserte angrep fortsatt er en av de største cybersikkerhetstruslene i dag. Med mange organisasjoner som fortsatt er avhengige av utdaterte autentiseringsmetoder, fortsetter angripere å utnytte disse svakhetene.

Ved å proaktivt sikre Microsoft 365-miljøer, overvåke uvanlig aktivitet og håndheve sterke autentiseringspolicyer, kan bedrifter redusere risikoen for å bli ofre for dette svært sofistikerte angrepet.

EnigmaSofts betalingsprosessor, Digital River GmbH, har ingen innvirkning på SpyHunter-kundenes anti-malware-beskyttelse

Søk

Endre region