Mạng lưới botnet khổng lồ của Trung Quốc với 130.000 thiết bị nhắm vào các tài khoản Microsoft 365

Một mạng botnet mạnh mẽ có liên hệ với Trung Quốc đã bị phát hiện đang phát động các cuộc tấn công rải mật khẩu quy mô lớn vào các tài khoản Microsoft 365, khiến các doanh nghiệp và tổ chức gặp rủi ro nghiêm trọng. Theo SecurityScorecard, mạng botnet này được thúc đẩy bởi 130.000 thiết bị bị xâm phạm, khiến nó trở thành một trong những mối đe dọa mạng lớn nhất cùng loại.
Mục lục
Cuộc tấn công diễn ra như thế nào
Botnet này khai thác chức năng đăng nhập không tương tác và Xác thực cơ bản, hai điểm yếu trong bảo mật Microsoft 365 cho phép kẻ tấn công kiểm tra thông tin đăng nhập bị đánh cắp mà không cần kích hoạt xác thực đa yếu tố trong nhiều cấu hình.
Đăng nhập không tương tác thường được sử dụng để xác thực dịch vụ với dịch vụ và các giao thức cũ như POP, IMAP và SMTP, khiến chúng ít được các nhóm bảo mật giám sát hơn. Xác thực cơ bản, mặc dù đã bị Microsoft loại bỏ, vẫn hoạt động trong một số môi trường, cho phép truyền thông tin xác thực dưới dạng văn bản thuần túy—một mục tiêu dễ dàng cho tin tặc.
Botnet lấy tên người dùng và mật khẩu bị đánh cắp, thường được thu thập bởi phần mềm độc hại đánh cắp thông tin, và kiểm tra chúng một cách có hệ thống trên các tài khoản Microsoft 365. Nếu thành công, kẻ tấn công sẽ có quyền truy cập vào dữ liệu nhạy cảm, phá vỡ hoạt động kinh doanh và di chuyển ngang trong một tổ chức.
Tại sao cuộc tấn công này khó phát hiện
Một trong những khía cạnh đáng sợ nhất của cuộc tấn công này là tính ẩn của nó. Vì các nỗ lực phun mật khẩu được ghi lại dưới các lần đăng nhập không tương tác, nhiều nhóm bảo mật không theo dõi chặt chẽ các bản ghi này. Điều này cho phép kẻ tấn công lọt qua radar trong khi chúng cố gắng đột nhập vào các tài khoản một cách có hệ thống.
SecurityScorecard cũng xác định các máy chủ chỉ huy và kiểm soát tại Hoa Kỳ, nơi giao tiếp với 130.000 thiết bị bị nhiễm trong khoảng thời gian bốn giờ. Các thiết bị này, có khả năng là một phần của mạng lưới toàn cầu lớn hơn, cho phép kẻ tấn công mở rộng hoạt động của chúng một cách nhanh chóng.
Ai là người đứng sau mạng Botnet?
Mặc dù cuộc tấn công có liên quan đến một nhóm đe dọa Trung Quốc, việc quy kết vẫn đang được điều tra. Tuy nhiên, botnet này có chung đặc điểm với các chiến dịch gián điệp mạng Trung Quốc đã được xác định trước đó.
Đáng chú ý, Microsoft đã báo cáo vào tháng 10 năm 2024 rằng nhiều tác nhân đe dọa Trung Quốc đã sử dụng thông tin đăng nhập bị đánh cắp từ một hoạt động phun mật khẩu quy mô lớn. Chiến dịch này có liên quan đến các mạng bị xâm phạm được gọi là CovertNetwork-1658, Xlogin và Quad7.
Làm thế nào để bảo vệ tổ chức của bạn
Với mạng lưới botnet này đang tích cực nhắm vào các tài khoản Microsoft 365, các tổ chức phải thực hiện các bước ngay lập tức để tăng cường bảo mật:
- Tắt Xác thực cơ bản nếu tính năng này vẫn được bật trong môi trường của bạn.
- Bật Xác thực hiện đại và xác thực đa yếu tố cho tất cả người dùng, đặc biệt là đối với các lần đăng nhập không tương tác.
- Thường xuyên theo dõi nhật ký đăng nhập không tương tác để phát hiện các kiểu đăng nhập bất thường.
- Sử dụng mật khẩu mạnh và duy nhất để ngăn chặn việc sử dụng mật khẩu tràn lan bằng cách thực hiện chính sách mật khẩu nghiêm ngặt và thực hiện thay đổi thường xuyên.
- Triển khai các giải pháp bảo mật điểm cuối để bảo vệ chống lại phần mềm độc hại đánh cắp thông tin mà tin tặc sử dụng để thu thập thông tin đăng nhập.
- Nếu có thể, hãy hạn chế quyền truy cập vào tài khoản Microsoft 365 theo vị trí địa lý, giới hạn số lần đăng nhập.
Suy nghĩ cuối cùng
Mạng botnet gồm 130.000 thiết bị nhắm vào Microsoft 365 là lời nhắc nhở nghiêm khắc rằng các cuộc tấn công dựa trên mật khẩu vẫn là một trong những mối đe dọa an ninh mạng lớn nhất hiện nay. Với nhiều tổ chức vẫn dựa vào các phương pháp xác thực lỗi thời, kẻ tấn công tiếp tục khai thác những điểm yếu này.
Bằng cách chủ động bảo mật môi trường Microsoft 365, giám sát hoạt động bất thường và thực thi chính sách xác thực mạnh mẽ, các doanh nghiệp có thể giảm nguy cơ trở thành nạn nhân của cuộc tấn công cực kỳ tinh vi này.