Огромный китайский ботнет из 130 000 устройств нацелен на учетные записи Microsoft 365
Мощный ботнет , связанный с Китаем, был пойман на запуске масштабных атак по распылению паролей на учетные записи Microsoft 365, подвергая предприятия и организации серьезному риску. Согласно SecurityScorecard, этот ботнет подпитывается ошеломляющими 130 000 скомпрометированных устройств, что делает его одной из крупнейших киберугроз такого рода.
Оглавление
Как работает атака
Этот ботнет использует неинтерактивные входы и базовую аутентификацию — два слабых места в системе безопасности Microsoft 365, которые позволяют злоумышленникам проверять украденные учетные данные, не активируя многофакторную аутентификацию во многих конфигурациях.
Неинтерактивные входы часто используются для аутентификации между службами и устаревших протоколов, таких как POP, IMAP и SMTP, что делает их менее проверяемыми группами безопасности. Базовая аутентификация, хотя и устарела в Microsoft, все еще активна в некоторых средах, позволяя передавать учетные данные в виде открытого текста — легкой цели для хакеров.
Ботнет берет украденные имена пользователей и пароли, часто собираемые вредоносным ПО для кражи информации, и систематически проверяет их на учетных записях Microsoft 365. В случае успеха злоумышленники получают доступ к конфиденциальным данным, нарушают бизнес-операции и продвигаются по организации.
Почему эту атаку трудно обнаружить
Одним из самых страшных аспектов этой атаки является ее скрытность. Поскольку попытки распыления паролей регистрируются при неинтерактивных входах, многие службы безопасности не отслеживают эти записи внимательно. Это позволяет злоумышленникам оставаться незамеченными, пока они систематически пытаются взломать учетные записи.
SecurityScorecard также идентифицировал серверы управления и контроля в Соединенных Штатах, которые взаимодействовали со 130 000 зараженных устройств в течение четырех часов. Эти устройства, вероятно, являющиеся частью более крупной глобальной сети, позволяют злоумышленникам быстро масштабировать свои операции.
Кто стоит за ботнетом?
Хотя атака была связана с китайской группой угроз, атрибуция остается продолжающимся расследованием. Однако этот ботнет имеет общие характеристики с ранее выявленными китайскими кампаниями кибершпионажа.
Примечательно, что в октябре 2024 года Microsoft сообщила, что несколько китайских злоумышленников использовали украденные учетные данные из масштабной операции по распылению паролей. Эта кампания была связана со скомпрометированными сетями, известными как CovertNetwork-1658, Xlogin и Quad7.
Как защитить свою организацию
Поскольку этот ботнет активно атакует учетные записи Microsoft 365, организациям необходимо принять немедленные меры по укреплению своей безопасности:
- Отключите базовую аутентификацию, если она все еще включена в вашей среде.
- Включите современную аутентификацию и многофакторную аутентификацию для всех пользователей, особенно для неинтерактивных входов.
- Регулярно проверяйте неинтерактивные журналы входа на предмет необычных схем входа.
- Используйте надежные уникальные пароли, чтобы предотвратить их распыление, внедряя строгую политику в отношении паролей и обеспечивая их регулярную смену.
- Развертывайте решения по безопасности конечных точек для защиты от вредоносного ПО для кражи информации, которое хакеры используют для сбора учетных данных.
- Если возможно, ограничьте географический доступ к учетным записям Microsoft 365, ограничив входы в систему на основе географического местоположения.
Заключительные мысли
Ботнет из 130 000 устройств, нацеленный на Microsoft 365, является суровым напоминанием о том, что атаки на основе паролей по-прежнему являются одной из самых серьезных угроз кибербезопасности на сегодняшний день. Поскольку многие организации по-прежнему полагаются на устаревшие методы аутентификации, злоумышленники продолжают эксплуатировать эти уязвимости.
Проактивно обеспечивая безопасность сред Microsoft 365, отслеживая необычную активность и применяя строгие политики аутентификации, предприятия могут снизить риск стать жертвой этой высокотехнологичной атаки.