Величезний китайський ботнет із 130 000 пристроїв націлений на облікові записи Microsoft 365
Потужний ботнет , пов’язаний з Китаєм, був спійманий під час масштабних атак із розпиленням паролів на облікові записи Microsoft 365, що наражає підприємства та організації на серйозний ризик. За даними SecurityScorecard, цей ботнет підживлюється приголомшливими 130 000 скомпрометованих пристроїв, що робить його однією з найбільших кіберзагроз у своєму роді.
Зміст
Як працює атака
Цей ботнет використовує неінтерактивні входи та базову автентифікацію, дві слабкі сторони безпеки Microsoft 365, які дозволяють зловмисникам перевіряти вкрадені облікові дані, не запускаючи багатофакторну автентифікацію в багатьох конфігураціях.
Неінтерактивний вхід часто використовується для міжсервісної автентифікації та застарілих протоколів, таких як POP, IMAP і SMTP, що робить їх менш ретельно перевіреними групами безпеки. Хоча базова автентифікація не підтримується корпорацією Майкрософт, вона все ще активна в деяких середовищах, дозволяючи передавати облікові дані у відкритому вигляді, що є легкою мішенню для хакерів.
Ботнет бере вкрадені імена користувачів і паролі, які часто збирає зловмисне програмне забезпечення infostealer, і систематично перевіряє їх на облікові записи Microsoft 365. У разі успіху зловмисники отримують доступ до конфіденційних даних, порушують бізнес-операції та переміщуються всередині організації.
Чому цю атаку важко виявити
Одним із найстрашніших аспектів цієї атаки є її скритність. Оскільки спроби розпилення пароля реєструються під час неінтерактивного входу, багато команд безпеки не можуть ретельно стежити за цими записами. Це дозволяє зловмисникам прослизнути поза радаром, коли вони систематично намагаються зламати облікові записи.
SecurityScorecard також ідентифікувала командні та контрольні сервери в Сполучених Штатах, які спілкувалися зі 130 000 заражених пристроїв протягом чотирьох годин. Ці пристрої, ймовірно, є частиною більшої глобальної мережі, дозволяють зловмисникам швидко масштабувати свої операції.
Хто стоїть за ботнетом?
Хоча атаку пов’язують з китайською групою загроз, розслідування щодо приписування ще триває. Однак цей ботнет має спільні характеристики з раніше ідентифікованими китайськими кампаніями кібершпигунства.
Зокрема, у жовтні 2024 року Microsoft повідомила, що кілька китайських дійових осіб використовували вкрадені облікові дані під час масштабної операції розпилення паролів. Ця кампанія була пов’язана з скомпрометованими мережами, відомими як CovertNetwork-1658, Xlogin і Quad7.
Як захистити свою організацію
Оскільки цей ботнет активно націлений на облікові записи Microsoft 365, організації повинні негайно вжити заходів для посилення безпеки:
- Вимкніть базову автентифікацію, якщо вона все ще ввімкнена у вашому середовищі.
- Увімкніть сучасну автентифікацію та багатофакторну автентифікацію для всіх користувачів, особливо для неінтерактивних входів.
- Регулярно перевіряйте неінтерактивні журнали входу на наявність незвичних шаблонів входу.
- Використовуйте надійні унікальні паролі, щоб запобігти розпилюванню паролів, запровадивши сувору політику паролів і примусово регулярно змінюючи їх.
- Розгортайте рішення безпеки кінцевих точок для захисту від зловмисного програмного забезпечення infostealer, яке хакери використовують для збору облікових даних.
- Геообмежте доступ до облікових записів Microsoft 365, якщо це можливо, обмеживши вхід на основі географічного розташування.
Заключні думки
Ботнет із 130 000 пристроїв, націлений на Microsoft 365, є яскравим нагадуванням про те, що атаки на основі паролів все ще є однією з найбільших загроз кібербезпеці сьогодні. Оскільки багато організацій все ще покладаються на застарілі методи автентифікації, зловмисники продовжують використовувати ці недоліки.
Проактивно захищаючи середовища Microsoft 365, відстежуючи незвичайну активність і запроваджуючи жорсткі політики автентифікації, компанії можуть зменшити ризик стати жертвою цієї надзвичайно складної атаки.