13 萬台裝置的中國大型殭屍網路瞄準 Microsoft 365 帳戶

電腦安全年Mura年

翻譯為：

一個與中國有關的強大殭屍網路被發現對 Microsoft 365 帳戶發動大規模密碼噴灑攻擊，使企業和組織面臨嚴重風險。根據 SecurityScorecard 的數據，這個殭屍網路由多達 13 萬台受感染的裝置所驅動，是同類網路威脅中最大的裝置之一。

這個殭屍網路利用非互動式登入和基本身份驗證，這是 Microsoft 365 安全性中的兩個弱點，允許攻擊者在許多設定中測試被盜憑證而無需觸發多因素身份驗證。

非互動式登入通常用於服務到服務的身份驗證和傳統協定（例如 POP、IMAP 和 SMTP），因此安全團隊對其的審查較少。儘管基本驗證已被微軟棄用，但在某些環境中仍然有效，允許以純文字形式傳輸憑證，這對駭客來說是一個容易攻擊的目標。

殭屍網路竊取通常由資訊竊取惡意軟體收集的使用者名稱和密碼，並針對 Microsoft 365 帳戶進行系統地測試。如果成功，攻擊者可以存取敏感數據，破壞業務運營，並在組織內部橫向移動。

這次襲擊最可怕的一點就是它的隱密性。由於密碼噴灑嘗試是在非互動式登入下記錄的，許多安全團隊未能密切監控這些記錄。這使得攻擊者在系統地嘗試入侵帳號時能夠逃脫雷達的監視。

SecurityScorecard 還發現，美國的命令和控制伺服器在四小時內與 130,000 台受感染的設備進行了通訊。這些設備可能是更大規模全球網路的一部分，使攻擊者能夠迅速擴大其行動。

雖然這起攻擊與中國威脅組織有關，但具體原因仍在調查中。然而，該殭屍網路與先前發現的中國網路間諜活動具有共同的特徵。

值得注意的是，微軟在 2024 年 10 月報告稱，多名中國威脅行為者正在使用從大規模密碼噴灑行動中竊取的憑證。此活動與 CovertNetwork-1658、Xlogin 和 Quad7 等受感染網路有關。

由於該殭屍網路積極瞄準Microsoft 365帳戶，組織必須立即採取措施加強其安全性：

針對 Microsoft 365 的 13 萬台裝置殭屍網路清楚地提醒我們，基於密碼的攻擊仍然是當今最大的網路安全威脅之一。由於許多組織仍然依賴過時的身份驗證方法，攻擊者繼續利用這些弱點。

透過主動保護 Microsoft 365 環境、監控異常活動並實施強大的身分驗證策略，企業可以降低成為這種高度複雜攻擊的受害者的風險。

搜索