Oferta rabatowa na wiele licencji
Bezpieczeństwo komputerowe Ogromny chiński botnet składający się z 130 000 urządzeń...

Ogromny chiński botnet składający się z 130 000 urządzeń atakuje konta Microsoft 365

Do Mura w Bezpieczeństwo komputerowe
Przetłumacz na:
Polski

Potężny botnet powiązany z Chinami został przyłapany na przeprowadzaniu ataków polegających na rozpylaniu haseł na konta Microsoft 365, narażając firmy i organizacje na poważne ryzyko. Według SecurityScorecard, ten botnet jest zasilany przez oszałamiającą liczbę 130 000 zainfekowanych urządzeń, co czyni go jednym z największych cyberzagrożeń tego typu.

Jak działa atak

Ten botnet wykorzystuje nieinteraktywne logowania i podstawowe uwierzytelnianie, czyli dwa słabe punkty zabezpieczeń platformy Microsoft 365, które umożliwiają atakującym testowanie skradzionych danych uwierzytelniających bez uruchamiania uwierzytelniania wieloskładnikowego w wielu konfiguracjach.

Nieinteraktywne logowania są często używane do uwierzytelniania typu service-to-service i starszych protokołów, takich jak POP, IMAP i SMTP, co sprawia, że są mniej kontrolowane przez zespoły ds. bezpieczeństwa. Podstawowe uwierzytelnianie, choć wycofane przez Microsoft, jest nadal aktywne w niektórych środowiskach, umożliwiając przesyłanie poświadczeń w postaci zwykłego tekstu — łatwy cel dla hakerów.

Botnet pobiera skradzione nazwy użytkowników i hasła, często gromadzone przez złośliwe oprogramowanie typu infostealer, i systematycznie testuje je na kontach Microsoft 365. Jeśli się powiedzie, atakujący uzyskują dostęp do poufnych danych, zakłócają działalność biznesową i poruszają się bocznie w organizacji.

Dlaczego ten atak jest trudny do wykrycia

Jednym z najbardziej przerażających aspektów tego ataku jest jego ukrycie. Ponieważ próby rozpylania haseł są rejestrowane pod nieinteraktywnymi logowaniami, wiele zespołów ds. bezpieczeństwa nie monitoruje tych rekordów. Pozwala to atakującym prześlizgnąć się pod radarem, podczas gdy systematycznie próbują włamać się na konta.

SecurityScorecard zidentyfikował również serwery dowodzenia i kontroli w Stanach Zjednoczonych, które komunikowały się ze 130 000 zainfekowanych urządzeń w ciągu czterech godzin. Urządzenia te, prawdopodobnie będące częścią większej globalnej sieci, umożliwiają atakującym szybkie skalowanie ich operacji.

Kto stoi za botnetem?

Chociaż atak został powiązany z chińską grupą zagrożeń, atrybucja pozostaje przedmiotem trwającego dochodzenia. Jednak ten botnet ma cechy wspólne z wcześniej zidentyfikowanymi chińskimi kampaniami cybernetycznego szpiegostwa.

Co ciekawe, Microsoft poinformował w październiku 2024 r., że wielu chińskich aktorów zagrożeń korzystało ze skradzionych danych uwierzytelniających z szeroko zakrojonej operacji rozpylania haseł. Kampania ta była powiązana z naruszonymi sieciami znanymi jako CovertNetwork-1658, Xlogin i Quad7.

Jak chronić swoją organizację

W związku z tym, że ta sieć botów aktywnie atakuje konta Microsoft 365, organizacje muszą natychmiast podjąć kroki w celu wzmocnienia swojego bezpieczeństwa:

  • Wyłącz uwierzytelnianie podstawowe, jeśli jest nadal włączone w Twoim środowisku.
  • Włącz nowoczesne uwierzytelnianie i uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników, zwłaszcza w przypadku logowania nieinteraktywnego.
  • Regularnie monitoruj dzienniki logowania, które nie są interaktywne, pod kątem nietypowych wzorców logowania.
  • Stosuj silne i niepowtarzalne hasła, aby zapobiegać ich rozprzestrzenianiu, wdrażając surowe zasady dotyczące haseł i wymuszając regularne ich zmienianie.
  • Wdróż rozwiązania zabezpieczające punkty końcowe, aby zapewnić sobie ochronę przed złośliwym oprogramowaniem typu infostealer, które hakerzy wykorzystują do gromadzenia danych uwierzytelniających.
  • Jeśli to możliwe, wprowadź ograniczenia geograficzne dostępu do kont Microsoft 365, ograniczając logowanie na podstawie lokalizacji geograficznej.

Ostatnie przemyślenia

130 000 urządzeń botnet atakujący Microsoft 365 jest jaskrawym przypomnieniem, że ataki oparte na hasłach są nadal jednym z największych zagrożeń cyberbezpieczeństwa. Ponieważ wiele organizacji nadal polega na przestarzałych metodach uwierzytelniania, atakujący nadal wykorzystują te słabości.

Poprzez proaktywne zabezpieczanie środowisk Microsoft 365, monitorowanie nietypowej aktywności i egzekwowanie silnych zasad uwierzytelniania firmy mogą zmniejszyć ryzyko stania się ofiarą tego niezwykle wyrafinowanego ataku.

Ładowanie...