Massivt kinesiskt botnät med 130 000 enheter riktar sig till Microsoft 365-konton

Ett kraftfullt Kina-länkat botnät har ertappats med att lansera storskaliga lösenordssprejsattacker mot Microsoft 365-konton, vilket utsätter företag och organisationer för allvarliga risker. Enligt SecurityScorecard drivs detta botnät av häpnadsväckande 130 000 komprometterade enheter, vilket gör det till ett av de största cyberhoten i sitt slag.

Hur attacken fungerar

Detta botnät utnyttjar icke-interaktiva inloggningar och grundläggande autentisering, två svaga punkter i Microsoft 365-säkerhet som gör att angripare kan testa stulna autentiseringsuppgifter utan att utlösa multifaktorautentisering i många konfigurationer.

Icke-interaktiva inloggningar används ofta för tjänst-till-tjänst-autentisering och äldre protokoll som POP, IMAP och SMTP, vilket gör dem mindre granskade av säkerhetsteam. Grundläggande autentisering, även om den föråldras av Microsoft, är fortfarande aktiv i vissa miljöer, vilket gör att referenser kan överföras i klartext – ett enkelt mål för hackare.

Botnätet tar stulna användarnamn och lösenord, ofta insamlade av skadlig programvara från infostealer, och testar dem systematiskt mot Microsoft 365-konton. Om det lyckas får angripare tillgång till känslig data, stör affärsverksamheten och rör sig i sidled inom en organisation.

Varför denna attack är svår att upptäcka

En av de läskigaste aspekterna av denna attack är dess smygande. Eftersom lösenordssprayförsök loggas under icke-interaktiva inloggningar, misslyckas många säkerhetsteam att övervaka dessa poster noga. Detta gör att angripare kan glida under radarn medan de systematiskt försöker bryta sig in på konton.

SecurityScorecard identifierade också kommando- och kontrollservrar i USA, som kommunicerade med 130 000 infekterade enheter under en fyratimmarsperiod. Dessa enheter, troligen en del av ett större globalt nätverk, gör det möjligt för angriparna att snabbt skala sin verksamhet.

Vem ligger bakom botnätet?

Även om attacken har kopplats till en kinesisk hotgrupp, är tillskrivning fortfarande en pågående utredning. Detta botnät delar dock egenskaper med tidigare identifierade kinesiska cyberspionagekampanjer.

Noterbart rapporterade Microsoft i oktober 2024 att flera kinesiska hotaktörer använde stulna referenser från en storskalig lösenordssprutning. Denna kampanj var associerad med komprometterade nätverk som kallas CovertNetwork-1658, Xlogin och Quad7.

Hur du skyddar din organisation

Med detta botnät aktivt inriktat på Microsoft 365-konton måste organisationer vidta omedelbara åtgärder för att stärka sin säkerhet:

• Inaktivera grundläggande autentisering om den fortfarande är aktiverad i din miljö.
• Aktivera modern autentisering och multifaktorautentisering för alla användare, särskilt för icke-interaktiva inloggningar.
• Övervaka icke-interaktiva inloggningsloggar regelbundet för ovanliga inloggningsmönster.
• Använd starka, unika lösenord för att förhindra lösenordssprutning genom att implementera strikta lösenordspolicyer och genomdriva regelbundna ändringar.
• Implementera slutpunktssäkerhetslösningar för att skydda mot skadlig programvara från infostealer som hackare använder för att samla in autentiseringsuppgifter.
• Geobegränsa åtkomsten till Microsoft 365-konton om möjligt, begränsa inloggningar baserat på geografiska platser.

Slutliga tankar

Botnätet med 130 000 enheter som riktar sig till Microsoft 365 är en skarp påminnelse om att lösenordsbaserade attacker fortfarande är ett av de största hoten mot cybersäkerhet idag. Med många organisationer som fortfarande förlitar sig på föråldrade autentiseringsmetoder fortsätter angripare att utnyttja dessa svagheter.

Genom att proaktivt säkra Microsoft 365-miljöer, övervaka ovanlig aktivitet och tillämpa starka autentiseringspolicyer kan företag minska risken att falla offer för denna mycket sofistikerade attack.