บอตเน็ตขนาดใหญ่ของจีนซึ่งมีอุปกรณ์กว่า 130,000 เครื่องกำหนดเป้าหมายบัญชี Microsoft 365
บอตเน็ต ที่เชื่อมโยงกับจีนอันทรงพลังถูกตรวจพบว่ากำลังเปิดการโจมตีด้วยรหัสผ่านแบบกระจายขนาดใหญ่ต่อบัญชี Microsoft 365 ซึ่งทำให้ธุรกิจและองค์กรต่างๆ ตกอยู่ในความเสี่ยงอย่างร้ายแรง ตามรายงานของ SecurityScorecard บอตเน็ตนี้ถูกขับเคลื่อนโดยอุปกรณ์ที่ถูกบุกรุกกว่า 130,000 เครื่อง ทำให้เป็นภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุดประเภทเดียวกัน
สารบัญ
การโจมตีทำงานอย่างไร
บ็อตเน็ตนี้ใช้ประโยชน์จากการลงชื่อเข้าใช้แบบไม่โต้ตอบและการตรวจสอบสิทธิ์พื้นฐาน ซึ่งเป็นจุดอ่อน 2 จุดในระบบความปลอดภัยของ Microsoft 365 ที่ทำให้ผู้โจมตีสามารถทดสอบข้อมูลประจำตัวที่ขโมยมาได้โดยไม่ต้องเรียกใช้การตรวจสอบสิทธิ์หลายปัจจัยในการกำหนดค่าต่างๆ มากมาย
การลงชื่อเข้าใช้แบบไม่โต้ตอบมักใช้สำหรับการตรวจสอบสิทธิ์แบบบริการต่อบริการและโปรโตคอลเก่า เช่น POP, IMAP และ SMTP ทำให้ทีมงานด้านความปลอดภัยตรวจสอบน้อยลง การตรวจสอบสิทธิ์ขั้นพื้นฐาน แม้ว่า Microsoft จะเลิกใช้ไปแล้ว แต่ยังคงใช้งานได้ในบางสภาพแวดล้อม ช่วยให้สามารถส่งข้อมูลประจำตัวในรูปแบบข้อความธรรมดาได้ ซึ่งเป็นเป้าหมายที่ง่ายสำหรับแฮกเกอร์
บอตเน็ตจะขโมยชื่อผู้ใช้และรหัสผ่านที่ขโมยมา ซึ่งมักรวบรวมโดยมัลแวร์ขโมยข้อมูล และทดสอบกับบัญชี Microsoft 365 อย่างเป็นระบบ หากประสบความสำเร็จ ผู้โจมตีจะสามารถเข้าถึงข้อมูลที่ละเอียดอ่อน ขัดขวางการดำเนินธุรกิจ และดำเนินการในองค์กรแบบแยกส่วน
เหตุใดการโจมตีนี้จึงตรวจจับได้ยาก
สิ่งที่น่ากลัวที่สุดอย่างหนึ่งของการโจมตีนี้ก็คือความแอบซ่อน เนื่องจากความพยายามในการขโมยรหัสผ่านจะถูกบันทึกไว้ภายใต้การลงชื่อเข้าใช้แบบไม่โต้ตอบ ทีมรักษาความปลอดภัยจำนวนมากจึงล้มเหลวในการติดตามบันทึกเหล่านี้อย่างใกล้ชิด ซึ่งทำให้ผู้โจมตีสามารถหลบซ่อนตัวได้ในขณะที่พยายามเจาะเข้าบัญชีอย่างเป็นระบบ
SecurityScorecard ยังได้ระบุเซิร์ฟเวอร์คำสั่งและการควบคุมในสหรัฐอเมริกา ซึ่งสื่อสารกับอุปกรณ์ที่ติดไวรัส 130,000 เครื่องในช่วงเวลา 4 ชั่วโมง อุปกรณ์เหล่านี้ซึ่งน่าจะเป็นส่วนหนึ่งของเครือข่ายทั่วโลก จะทำให้ผู้โจมตีสามารถขยายขอบเขตการปฏิบัติการได้อย่างรวดเร็ว
ใครอยู่เบื้องหลังบอตเน็ต?
แม้ว่าการโจมตีจะเชื่อมโยงกับกลุ่มผู้คุกคามชาวจีน แต่การระบุแหล่งที่มายังคงเป็นการสืบสวนต่อไป อย่างไรก็ตาม บอตเน็ตนี้มีลักษณะที่เหมือนกับแคมเปญจารกรรมทางไซเบอร์ของจีนที่ระบุไว้ก่อนหน้านี้
ที่น่าสังเกตคือ Microsoft รายงานในเดือนตุลาคม 2024 ว่าผู้ก่อภัยคุกคามชาวจีนหลายรายกำลังใช้ข้อมูลประจำตัวที่ขโมยมาจากการดำเนินการโจมตีรหัสผ่านขนาดใหญ่ แคมเปญนี้เกี่ยวข้องกับเครือข่ายที่ถูกบุกรุกที่รู้จักกันในชื่อ CovertNetwork-1658, Xlogin และ Quad7
วิธีการปกป้ององค์กรของคุณ
เนื่องจากบอตเน็ตนี้มุ่งเป้าไปที่บัญชี Microsoft 365 องค์กรต่างๆ จึงต้องดำเนินการทันทีเพื่อเสริมความปลอดภัย:
- ปิดใช้งานการตรวจสอบสิทธิ์พื้นฐานหากยังคงเปิดใช้งานอยู่ในสภาพแวดล้อมของคุณ
- เปิดใช้งานการตรวจสอบความถูกต้องแบบทันสมัยและการตรวจสอบความถูกต้องหลายปัจจัยสำหรับผู้ใช้ทั้งหมด โดยเฉพาะอย่างยิ่งสำหรับการลงชื่อเข้าใช้แบบไม่โต้ตอบ
- ตรวจสอบบันทึกการเข้าสู่ระบบแบบไม่โต้ตอบอย่างสม่ำเสมอเพื่อค้นหารูปแบบการเข้าสู่ระบบที่ผิดปกติ
- ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันเพื่อป้องกันการโจมตีโดยใช้รหัสผ่านที่คาดเดายากโดยการใช้หลักนโยบายรหัสผ่านที่เข้มงวดและบังคับใช้การเปลี่ยนแปลงเป็นประจำ
- ปรับใช้โซลูชันการรักษาความปลอดภัยปลายทางเพื่อป้องกันมัลแวร์ขโมยข้อมูลซึ่งแฮกเกอร์ใช้เพื่อรวบรวมข้อมูลประจำตัว
- จำกัดการเข้าถึงบัญชี Microsoft 365 ตามภูมิศาสตร์หากเป็นไปได้ โดยจำกัดการเข้าสู่ระบบตามตำแหน่งที่ตั้งทางภูมิศาสตร์
ความคิดสุดท้าย
บอตเน็ตที่มีอุปกรณ์ถึง 130,000 เครื่องที่โจมตี Microsoft 365 เป็นการเตือนใจอย่างชัดเจนว่าการโจมตีโดยใช้รหัสผ่านยังคงเป็นภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุดในปัจจุบัน เนื่องจากองค์กรหลายแห่งยังคงใช้วิธีการพิสูจน์ตัวตนที่ล้าสมัย ผู้โจมตีจึงยังคงใช้ประโยชน์จากจุดอ่อนเหล่านี้ต่อไป
การรักษาความปลอดภัยสภาพแวดล้อม Microsoft 365 เชิงรุก การตรวจสอบกิจกรรมที่ผิดปกติ และการบังคับใช้การตรวจสอบสิทธิ์ที่เข้มงวด ช่วยให้ธุรกิจต่างๆ ลดความเสี่ยงในการตกเป็นเหยื่อของการโจมตีที่ซับซ้อนนี้