Ogromen kitajski botnet s 130.000 napravami cilja na račune Microsoft 365
Zmogljiv botnet , povezan s Kitajsko, so ujeli pri izvajanju obsežnih napadov z razpršitvijo gesel na račune Microsoft 365, s čimer so resno ogroženi podjetja in organizacije. Po podatkih SecurityScorecard ta botnet napaja osupljivih 130.000 ogroženih naprav, zaradi česar je ena največjih kibernetskih groženj te vrste.
Kazalo
Kako deluje napad
Ta botnet izkorišča neinteraktivne prijave in osnovno preverjanje pristnosti, dve šibki točki v varnosti Microsoft 365, ki napadalcem omogočata preizkus ukradenih poverilnic, ne da bi sprožili večfaktorsko preverjanje pristnosti v številnih konfiguracijah.
Neinteraktivne prijave se pogosto uporabljajo za preverjanje pristnosti med storitvami in podedovane protokole, kot so POP, IMAP in SMTP, zaradi česar jih varnostne skupine manj pregledujejo. Osnovna avtentikacija, čeprav jo je Microsoft opustil, je v nekaterih okoljih še vedno aktivna in omogoča prenos poverilnic v navadnem besedilu – lahka tarča za hekerje.
Botnet prevzame ukradena uporabniška imena in gesla, ki jih pogosto zbere zlonamerna programska oprema infostealer, in jih sistematično testira z računi Microsoft 365. Če so uspešni, napadalci pridobijo dostop do občutljivih podatkov, motijo poslovne operacije in se premikajo stransko znotraj organizacije.
Zakaj je ta napad težko odkriti
Eden najstrašnejših vidikov tega napada je njegova prikritost. Ker se poskusi razprševanja gesel beležijo pod neinteraktivnimi prijavami, številne varnostne ekipe teh zapisov ne spremljajo natančno. To napadalcem omogoča, da se izmuznejo izpod radarja, medtem ko poskušajo sistematično vdreti v račune.
SecurityScorecard je identificiral tudi ukazne in nadzorne strežnike v Združenih državah Amerike, ki so v obdobju štirih ur komunicirali s 130.000 okuženimi napravami. Te naprave, ki so verjetno del večjega globalnega omrežja, omogočajo napadalcem, da hitro razširijo svoje operacije.
Kdo stoji za botnetom?
Medtem ko je bil napad povezan s kitajsko groženjsko skupino, preiskava pripisovanja še poteka. Vendar ima ta botnet enake lastnosti kot prej ugotovljene kitajske kibernetske vohunske kampanje.
Predvsem Microsoft je oktobra 2024 poročal, da je več kitajskih akterjev groženj uporabljalo ukradene poverilnice iz obsežne operacije razprševanja gesel. Ta kampanja je bila povezana z ogroženimi omrežji, znanimi kot CovertNetwork-1658, Xlogin in Quad7.
Kako zaščititi svojo organizacijo
S tem botnetom, ki aktivno cilja na račune Microsoft 365, morajo organizacije nemudoma ukrepati, da okrepijo svojo varnost:
- Onemogočite osnovno preverjanje pristnosti, če je v vašem okolju še vedno omogočeno.
- Omogočite moderno avtentikacijo in večfaktorsko avtentikacijo za vse uporabnike, zlasti za neinteraktivne prijave.
- Redno spremljajte neinteraktivne prijavne dnevnike glede nenavadnih vzorcev prijave.
- Uporabite močna, edinstvena gesla, da preprečite razprševanje gesel z izvajanjem strogih pravilnikov o geslih in uveljavljanjem rednih sprememb.
- Namestite varnostne rešitve končne točke za zaščito pred zlonamerno programsko opremo infostealer, ki jo hekerji uporabljajo za zbiranje poverilnic.
- Geografsko omejite dostop do računov Microsoft 365, če je mogoče, in omejite prijave na podlagi geografskih lokacij.
Končne misli
Botnet s 130.000 napravami, ki cilja na Microsoft 365, je jasen opomin, da so napadi na podlagi gesel še vedno ena največjih groženj kibernetski varnosti danes. Ker se številne organizacije še vedno zanašajo na zastarele metode preverjanja pristnosti, napadalci še naprej izkoriščajo te slabosti.
S proaktivnim varovanjem okolij Microsoft 365, spremljanjem neobičajne dejavnosti in uveljavljanjem strogih politik preverjanja pristnosti lahko podjetja zmanjšajo tveganje, da bi postala žrtev tega zelo sofisticiranega napada.