Kortingsaanbieding voor meerdere licenties
Computerbeveiliging Groot Chinees botnet van 130.000 apparaten richt zich op...

Groot Chinees botnet van 130.000 apparaten richt zich op Microsoft 365-accounts

Tegen Mura in Computerbeveiliging
Vertalen naar:
Nederlands

Een krachtig botnet met Chinese links is betrapt op het lanceren van grootschalige wachtwoordsprayaanvallen op Microsoft 365-accounts, waardoor bedrijven en organisaties ernstig gevaar lopen. Volgens SecurityScorecard wordt dit botnet gevoed door maar liefst 130.000 gecompromitteerde apparaten, wat het een van de grootste cyberbedreigingen in zijn soort maakt.

Hoe de aanval werkt

Dit botnet maakt misbruik van niet-interactieve aanmeldingen en basisverificatie, twee zwakke punten in de beveiliging van Microsoft 365 waarmee aanvallers gestolen inloggegevens kunnen testen zonder dat hiervoor in veel configuraties multi-factor-authenticatie nodig is.

Niet-interactieve aanmeldingen worden vaak gebruikt voor service-to-service-authenticatie en legacy-protocollen zoals POP, IMAP en SMTP, waardoor ze minder goed worden onderzocht door beveiligingsteams. Basisauthenticatie is weliswaar verouderd door Microsoft, maar is nog steeds actief in sommige omgevingen, waardoor inloggegevens in platte tekst kunnen worden verzonden, een gemakkelijk doelwit voor hackers.

Het botnet neemt gestolen gebruikersnamen en wachtwoorden, vaak verzameld door infostealer-malware, en test deze systematisch op Microsoft 365-accounts. Als dit lukt, krijgen aanvallers toegang tot gevoelige gegevens, verstoren ze de bedrijfsvoering en bewegen ze zich zijwaarts binnen een organisatie.

Waarom deze aanval moeilijk te detecteren is

Een van de engste aspecten van deze aanval is de stealth. Omdat wachtwoordspraypogingen worden geregistreerd onder niet-interactieve aanmeldingen, controleren veel beveiligingsteams deze records niet nauwlettend. Hierdoor kunnen aanvallers onder de radar glippen terwijl ze systematisch proberen in te breken in accounts.

SecurityScorecard identificeerde ook command and control-servers in de Verenigde Staten, die in een periode van vier uur communiceerden met 130.000 geïnfecteerde apparaten. Deze apparaten, waarschijnlijk onderdeel van een groter wereldwijd netwerk, stellen de aanvallers in staat hun operaties snel op te schalen.

Wie zit er achter het botnet?

Hoewel de aanval in verband is gebracht met een Chinese dreigingsgroep, blijft de toeschrijving een lopend onderzoek. Dit botnet deelt echter kenmerken met eerder geïdentificeerde Chinese cyber-espionagecampagnes.

Opvallend genoeg meldde Microsoft in oktober 2024 dat meerdere Chinese dreigingsactoren gestolen inloggegevens gebruikten van een grootschalige wachtwoordsprayingoperatie. Deze campagne werd geassocieerd met gecompromitteerde netwerken die bekend staan als CovertNetwork-1658, Xlogin en Quad7.

Hoe u uw organisatie kunt beschermen

Omdat dit botnet actief op Microsoft 365-accounts is gericht, moeten organisaties onmiddellijk maatregelen nemen om hun beveiliging te versterken:

  • Schakel Basisverificatie uit als deze nog is ingeschakeld in uw omgeving.
  • Schakel moderne verificatie en multi-factor-authenticatie in voor alle gebruikers, met name voor niet-interactieve aanmeldingen.
  • Controleer regelmatig niet-interactieve aanmeldlogboeken op ongebruikelijke aanmeldpatronen.
  • Gebruik sterke, unieke wachtwoorden om 'password spraying' te voorkomen. Voer hiervoor een strikt wachtwoordbeleid in en dwing regelmatige wijzigingen af.
  • Implementeer endpointbeveiligingsoplossingen ter bescherming tegen infostealer-malware waarmee hackers inloggegevens verzamelen.
  • Beperk indien mogelijk de toegang tot Microsoft 365-accounts op basis van geografische locaties.

Laatste gedachten

Het botnet van 130.000 apparaten dat Microsoft 365 als doelwit heeft, is een harde herinnering dat wachtwoordgebaseerde aanvallen nog steeds een van de grootste cybersecuritybedreigingen van vandaag de dag zijn. Omdat veel organisaties nog steeds vertrouwen op verouderde authenticatiemethoden, blijven aanvallers deze zwakheden uitbuiten.

Door Microsoft 365-omgevingen proactief te beveiligen, ongebruikelijke activiteiten te bewaken en sterke authenticatiebeleidsregels af te dwingen, kunnen bedrijven het risico verkleinen dat ze slachtoffer worden van deze zeer geavanceerde aanval.

Bezig met laden...