13 万台设备的中国大型僵尸网络瞄准 Microsoft 365 帐户

通过Mura在计算机安全

翻译为：

一个与中国有关的强大僵尸网络被发现对 Microsoft 365 帐户发起大规模密码喷洒攻击，使企业和组织面临严重风险。根据 SecurityScorecard 的数据，这个僵尸网络由多达 130,000 台受感染设备驱动，使其成为同类中最大的网络威胁之一。

该僵尸网络利用非交互式登录和基本身份验证，这是 Microsoft 365 安全性中的两个弱点，允许攻击者在许多配置中测试被盗凭据而无需触发多因素身份验证。

非交互式登录通常用于服务到服务身份验证和旧式协议（例如 POP、IMAP 和 SMTP），因此安全团队对其的审查较少。基本身份验证虽然已被 Microsoft 弃用，但在某些环境中仍然有效，允许以纯文本形式传输凭据，这对黑客来说很容易成为目标。

僵尸网络窃取通常由信息窃取恶意软件收集的用户名和密码，并系统地针对 Microsoft 365 帐户进行测试。如果成功，攻击者将获得敏感数据的访问权限，破坏业务运营，并在组织内横向移动。

这种攻击最可怕的方面之一是它的隐蔽性。由于密码喷洒尝试是在非交互式登录下记录的，因此许多安全团队未能密切监视这些记录。这使得攻击者在系统地尝试入侵帐户时可以躲过雷达的监视。

SecurityScorecard 还发现了位于美国的命令和控制服务器，这些服务器在四小时内与 13 万台受感染的设备进行通信。这些设备可能是更大的全球网络的一部分，使攻击者能够迅速扩大其行动范围。

虽然此次攻击与中国威胁组织有关，但其归属仍在调查中。不过，该僵尸网络与之前发现的中国网络间谍活动有共同的特征。

值得注意的是，微软在 2024 年 10 月报告称，多名中国威胁行为者正在使用从大规模密码喷洒行动中窃取的凭证。此活动与 CovertNetwork-1658、Xlogin 和 Quad7 等受感染网络有关。

由于该僵尸网络积极瞄准Microsoft 365帐户，组织必须立即采取措施加强其安全性：

针对 Microsoft 365 的 13 万台设备僵尸网络清楚地提醒我们，基于密码的攻击仍然是当今最大的网络安全威胁之一。由于许多组织仍然依赖过时的身份验证方法，攻击者继续利用这些弱点。

通过主动保护 Microsoft 365 环境、监控异常活动并实施强大的身份验证策略，企业可以降低成为这种高度复杂攻击的受害者的风险。

搜索