Napakalaking Chinese Botnet ng 130,000 Device na Tinatarget ang Mga Microsoft 365 Account
Nahuli ang isang malakas na botnet na naka-link sa China na naglulunsad ng malakihang pag-spray ng password laban sa mga Microsoft 365 account, na naglalagay sa mga negosyo at organisasyon sa malubhang panganib. Ayon sa SecurityScorecard, ang botnet na ito ay pinalakas ng nakakagulat na 130,000 mga nakompromisong device, na ginagawa itong isa sa pinakamalaking banta sa cyber sa uri nito.
Talaan ng mga Nilalaman
Paano Gumagana ang Pag-atake
Sinasamantala ng botnet na ito ang mga hindi interactive na pag-sign-in at Basic Authentication, dalawang mahinang punto sa seguridad ng Microsoft 365 na nagbibigay-daan sa mga umaatake na subukan ang mga ninakaw na kredensyal nang hindi nagti-trigger ng multi-factor na pagpapatotoo sa maraming configuration.
Ang mga hindi interactive na pag-sign-in ay kadalasang ginagamit para sa pagpapatotoo ng serbisyo-sa-serbisyo at mga legacy na protocol gaya ng POP, IMAP, at SMTP, na ginagawang hindi gaanong sinusuri ng mga security team ang mga ito. Ang Basic Authentication, bagama't hindi na ginagamit ng Microsoft, ay aktibo pa rin sa ilang kapaligiran, na nagpapahintulot sa mga kredensyal na maipadala sa plaintext—isang madaling target para sa mga hacker.
Kinukuha ng botnet ang mga ninakaw na username at password, kadalasang nakukuha ng infostealer malware, at sistematikong sinusubok ang mga ito laban sa mga Microsoft 365 account. Kung matagumpay, magkakaroon ng access ang mga attacker sa sensitibong data, makaabala sa mga operasyon ng negosyo, at lumipat sa gilid sa loob ng isang organisasyon.
Bakit Mahirap Matukoy ang Pag-atakeng Ito
Ang isa sa mga pinakanakakatakot na aspeto ng pag-atake na ito ay ang palihim nito. Dahil ang mga pagtatangka sa pag-spray ng password ay naka-log sa ilalim ng mga non-interactive na pag-sign-in, maraming mga security team ang nabigong subaybayan ang mga record na ito nang malapitan. Nagbibigay-daan ito sa mga umaatake na makalusot sa ilalim ng radar habang sistematikong sinusubukan nilang pumasok sa mga account.
Tinukoy din ng SecurityScorecard ang mga command at control server sa United States, na nakikipag-ugnayan sa 130,000 infected na device sa loob ng apat na oras. Ang mga device na ito, malamang na bahagi ng isang mas malaking pandaigdigang network, ay nagbibigay-daan sa mga umaatake na mabilis na palakihin ang kanilang mga operasyon.
Sino ang Nasa Likod ng Botnet?
Bagama't iniugnay ang pag-atake sa isang grupo ng pagbabanta ng China, ang pagpapatungkol ay nananatiling isang patuloy na pagsisiyasat. Gayunpaman, ang botnet na ito ay nagbabahagi ng mga katangian sa mga dating natukoy na Chinese cyber-espionage campaign.
Kapansin-pansin, iniulat ng Microsoft noong Oktubre 2024 na maraming Chinese threat actor ang gumagamit ng mga ninakaw na kredensyal mula sa isang malakihang operasyon ng pag-spray ng password. Ang kampanyang ito ay nauugnay sa mga nakompromisong network na kilala bilang CovertNetwork-1658, Xlogin, at Quad7.
Paano Protektahan ang Iyong Organisasyon
Sa botnet na ito na aktibong nagta-target sa mga Microsoft 365 account, ang mga organisasyon ay dapat gumawa ng mga agarang hakbang upang palakasin ang kanilang seguridad:
- I-disable ang Basic Authentication kung naka-enable pa rin ito sa iyong environment.
- I-enable ang Modern Authentication at multi-factor authentication para sa lahat ng user, lalo na para sa mga non-interactive na pag-sign in.
- Regular na subaybayan ang mga non-interactive na log ng pag-sign in para sa mga hindi pangkaraniwang pattern sa pag-log in.
- Gumamit ng malakas at natatanging mga password upang maiwasan ang pag-spray ng password sa pamamagitan ng pagpapatupad ng mahigpit na mga patakaran sa password at pagpapatupad ng mga regular na pagbabago.
- I-deploy ang mga solusyon sa seguridad ng endpoint upang maprotektahan laban sa infostealer malware na ginagamit ng mga hacker para mangalap ng mga kredensyal.
- Geo-restrict ang pag-access sa mga Microsoft 365 account kung maaari, nililimitahan ang mga pag-login batay sa mga heyograpikong lokasyon.
Pangwakas na Kaisipan
Ang 130,000-device na botnet na nagta-target sa Microsoft 365 ay isang matinding paalala na ang mga pag-atake na nakabatay sa password ay isa pa rin sa pinakamalaking banta sa cybersecurity ngayon. Sa maraming organisasyon na umaasa pa rin sa mga hindi napapanahong paraan ng pagpapatotoo, patuloy na sinasamantala ng mga umaatake ang mga kahinaang ito.
Sa pamamagitan ng aktibong pag-secure ng mga kapaligiran ng Microsoft 365, pagsubaybay sa hindi pangkaraniwang aktibidad, at pagpapatupad ng matibay na mga patakaran sa pagpapatotoo, mababawasan ng mga negosyo ang kanilang panganib na mabiktima ng napakahusay na pag-atakeng ito.