Obrovský čínsky botnet so 130 000 zariadeniami sa zameriava na účty Microsoft 365
Výkonný botnet prepojený s Čínou bol prichytený pri spúšťaní rozsiahlych útokov so sprejovaním hesiel na účty Microsoft 365, čo vystavuje podniky a organizácie vážnemu riziku. Podľa SecurityScorecard tento botnet poháňa ohromujúcich 130 000 napadnutých zariadení, čo z neho robí jednu z najväčších kybernetických hrozieb svojho druhu.
Obsah
Ako funguje útok
Tento botnet využíva neinteraktívne prihlásenia a základné overenie, dve slabé miesta v zabezpečení Microsoft 365, ktoré útočníkom umožňujú testovať ukradnuté poverenia bez spustenia viacfaktorového overovania v mnohých konfiguráciách.
Neinteraktívne prihlásenia sa často používajú na autentifikáciu medzi službami a staršie protokoly, ako sú POP, IMAP a SMTP, vďaka čomu ich bezpečnostné tímy menej kontrolujú. Základná autentifikácia, aj keď je spoločnosťou Microsoft zastaraná, je v niektorých prostrediach stále aktívna a umožňuje prenos poverení v obyčajnom texte, čo je pre hackerov jednoduchý cieľ.
Botnet berie ukradnuté používateľské mená a heslá, ktoré často získava malvér infostealer, a systematicky ich testuje na účtoch Microsoft 365. Ak budú úspešní, útočníci získajú prístup k citlivým údajom, narušia obchodné operácie a presunú sa laterálne v rámci organizácie.
Prečo je ťažké odhaliť tento útok
Jedným z najdesivejších aspektov tohto útoku je jeho utajenie. Keďže pokusy o nastriekanie hesla sa zaznamenávajú pod neinteraktívnymi prihláseniami, mnohé bezpečnostné tímy tieto záznamy nesledujú. To umožňuje útočníkom prekĺznuť pod radar, zatiaľ čo sa systematicky pokúšajú preniknúť do účtov.
SecurityScorecard tiež identifikoval príkazové a riadiace servery v Spojených štátoch, ktoré komunikovali so 130 000 infikovanými zariadeniami počas štyroch hodín. Tieto zariadenia, ktoré sú pravdepodobne súčasťou väčšej globálnej siete, umožňujú útočníkom rýchlo škálovať svoje operácie.
Kto stojí za botnetom?
Aj keď bol útok spojený s čínskou skupinou hrozieb, pripisovanie zostáva v štádiu vyšetrovania. Tento botnet však zdieľa charakteristiky s predtým identifikovanými čínskymi kyberšpionážnymi kampaňami.
Spoločnosť Microsoft v októbri 2024 oznámila, že viacerí čínski aktéri hrozieb používali ukradnuté poverenia z rozsiahlej operácie sprejovania hesiel. Táto kampaň bola spojená s napadnutými sieťami známymi ako CovertNetwork-1658, Xlogin a Quad7.
Ako chrániť svoju organizáciu
S týmto botnetom, ktorý sa aktívne zameriava na účty Microsoft 365, musia organizácie podniknúť okamžité kroky na posilnenie svojej bezpečnosti:
- Zakážte základné overovanie, ak je vo vašom prostredí stále povolené.
- Povoľte modernú autentifikáciu a viacfaktorovú autentifikáciu pre všetkých používateľov, najmä pre neinteraktívne prihlásenia.
- Pravidelne sledujte neinteraktívne prihlasovacie denníky, či neobsahujú neobvyklé vzory prihlásenia.
- Používajte silné a jedinečné heslá, aby ste zabránili ich rozprašovaniu implementáciou prísnych zásad hesiel a vynucovaním pravidelných zmien.
- Nasaďte riešenia zabezpečenia koncových bodov na ochranu pred malvérom infostealer, ktorý hackeri používajú na získavanie poverení.
- Ak je to možné, geograficky obmedzte prístup k účtom Microsoft 365 a obmedzte prihlasovanie na základe geografickej polohy.
Záverečné myšlienky
Botnet so 130 000 zariadeniami zameraný na Microsoft 365 jasne pripomína, že útoky založené na heslách sú stále jednou z najväčších hrozieb kybernetickej bezpečnosti súčasnosti. Keďže mnohé organizácie sa stále spoliehajú na zastarané metódy autentifikácie, útočníci naďalej využívajú tieto slabé stránky.
Proaktívnym zabezpečením prostredí Microsoft 365, monitorovaním nezvyčajných aktivít a presadzovaním prísnych zásad overovania môžu podniky znížiť riziko, že sa stanú obeťou tohto vysoko sofistikovaného útoku.