Огроман кинески ботнет од 130.000 уређаја циља на Мицрософт 365 налоге
Моћни ботнет повезан са Кином ухваћен је како покреће велике нападе лозинком на Мицрософт 365 налоге, доводећи предузећа и организације у озбиљан ризик. Према СецуритиСцорецард-у, овај ботнет подстиче запањујућих 130.000 компромитованих уређаја, што га чини једном од највећих сајбер претњи те врсте.
Преглед садржаја
Како функционише напад
Овај ботнет користи неинтерактивно пријављивање и основну аутентификацију, две слабе тачке у Мицрософт 365 безбедности које омогућавају нападачима да тестирају украдене акредитиве без покретања вишефакторске провере аутентичности у многим конфигурацијама.
Неинтерактивно пријављивање се често користи за аутентификацију од услуге до услуге и за застареле протоколе као што су ПОП, ИМАП и СМТП, због чега их безбедносни тимови мање испитују. Основна аутентикација, иако је застарела од стране Мицрософта, и даље је активна у неким окружењима, омогућавајући преношење акредитива у отвореном тексту – лака мета за хакере.
Ботнет узима украдена корисничка имена и лозинке, које често прикупља злонамерни софтвер за крађу информација, и систематски их тестира у односу на Мицрософт 365 налоге. Ако успеју, нападачи добијају приступ осетљивим подацима, ометају пословне операције и крећу се бочно унутар организације.
Зашто је овај напад тешко открити
Један од најстрашнијих аспеката овог напада је његова прикривеност. Пошто се покушаји уношења лозинке евидентирају под неинтерактивним пријављивањем, многи безбедносни тимови не успевају да пажљиво прате ове записе. Ово омогућава нападачима да прођу испод радара док систематски покушавају да провале у рачуне.
СецуритиСцорецард је такође идентификовао командне и контролне сервере у Сједињеним Државама, који су комуницирали са 130.000 заражених уређаја током периода од четири сата. Ови уређаји, вероватно део веће глобалне мреже, омогућавају нападачима да брзо скалирају своје операције.
Ко стоји иза ботнета?
Иако је напад повезан са кинеском претњом, истрага о приписивању остаје у току. Међутим, овај ботнет дели карактеристике са претходно идентификованим кинеским кампањама сајбер шпијунаже.
Приметно, Мицрософт је у октобру 2024. известио да је више кинеских актера претњи користило украдене акредитиве из велике операције прскања лозинки. Ова кампања је била повезана са компромитованим мрежама познатим као ЦовертНетворк-1658, Кслогин и Куад7.
Како заштитити своју организацију
Пошто овај ботнет активно циља на Мицрософт 365 налоге, организације морају да предузму хитне кораке да ојачају своју безбедност:
- Онемогућите основну аутентификацију ако је још увек омогућена у вашем окружењу.
- Омогућите модерну аутентификацију и вишефакторску аутентификацију за све кориснике, посебно за неинтерактивно пријављивање.
- Редовно пратите неинтерактивне евиденције пријављивања у потрази за необичним обрасцима пријављивања.
- Користите јаке, јединствене лозинке да бисте спречили прскање лозинки применом строгих политика лозинки и спровођењем редовних промена.
- Примените безбедносна решења крајњих тачака за заштиту од малвера за крађу информација које хакери користе за прикупљање акредитива.
- Гео-ограничите приступ Мицрософт 365 налозима ако је могуће, ограничавајући пријаве на основу географских локација.
Финал Тхоугхтс
Ботнет са 130.000 уређаја који циља Мицрософт 365 је оштар подсетник да су напади засновани на лозинкама и даље једна од највећих претњи сајбер безбедности данас. С обзиром да се многе организације и даље ослањају на застареле методе аутентификације, нападачи настављају да искориштавају ове слабости.
Проактивним обезбеђивањем Мицрософт 365 окружења, праћењем необичних активности и применом јаких политика аутентификације, предузећа могу смањити ризик да постану жртве овог веома софистицираног напада.