微軟報告發現了一個惡意活動組織，其目標是攻擊美國和以色列的國防技術公司的Office 365用戶。

10月11日消息，微軟威脅情報中心(MSTIC)和微軟數字安全部(DSU)的研究人員發現了一個惡意活動集群，被追蹤為DEV-0343，其目標是美國和以色列國防技術公司的Office 365用戶。

[[428413]]

微軟稱，不到20個Office 365用戶被入侵

研究人員稱DEV-0343團伙與伊朗相關，主要瞄準美國、歐盟和以色列政府合作的國防公司，如生產軍事級雷達、無人機技術、衛生系統和應急通信系統的國防公司。

微軟威脅情報中心在2021年7月下旬首次觀察到DEV-0343并開始追蹤。DEV-0343對250多個Office 365用戶進行大范圍密碼噴射，主要瞄準美國和以色列的國防技術公司、波斯灣港口或在中東有業務的全球海運和貨運公司。

“只有不到20個Office 365用戶被入侵，但DEV-0343仍然在不斷改進技術以提高攻擊完成度。”微軟表示，啟用了多因素認證(MFA)的Office 365帳戶則未被密碼噴射攻擊攻破。

微軟研究人員表示，該團伙的活動與伊朗方面的利益相一致，其TTP與另一個與伊朗相關的網絡組織活動相似。

研究人員推測，攻擊者目的是獲得商業衛星圖像

研究人員推測，攻擊者目的是獲得商業衛星圖像和航運計劃日志。DEV-0343攻擊者還利用一系列精心設計的Tor IP地址來混淆其攻擊行為和基礎設施。

“DEV-0343模擬火狐瀏覽器，使用托管在Tor代理網絡上的IP進行大范圍密碼噴射。攻擊者在伊朗時間周日和周四上午7:30至晚上8:30(UTC+3.5)之間最為活躍。他們通常針對組織內的數十到數百個帳戶，并對每個帳戶進行數十到數千次的枚舉。平均而言，針對每個組織的攻擊使用了150至1000多個Tor代理IP地址。"

報告稱，“DEV-0343攻擊者通常針對兩個Exchange端點：Autodiscover和ActiveSync，將這兩個端點作為枚舉和密碼噴灑的工具，驗證活躍賬戶和密碼，并進一步完善其密碼噴射攻擊。”

微軟稱已通知被針對或受到攻擊的用戶，為他們提供了保護其賬戶所需的信息。

微軟建議企業自查日志中有無以下活動，以確定其基礎設施是否被攻擊：

• 來自Tor IP地址的密碼攻擊流量
• 在密碼噴射活動中模擬FireFox(最常見)或Chrome瀏覽器
• 枚舉Exchange ActiveSync(最常見)或Autodiscover端點
• 使用類似于 "o365spray "工具的枚舉/密碼噴射工具
• 使用Autodiscover來驗證賬戶和密碼
• 觀察到的密碼噴灑活動通常在UTC 4:00:00和11:00:00之間達到高峰

以下是微軟分享的緩解DEV-0343攻擊的防御措施：

• 啟用多因素認證，以減少憑證泄露。
• Office 365用戶，請參閱多因素認證支持。
• 對于消費者和個人電子郵件賬戶，請參閱如何使用兩步驗證。
• 微軟鼓勵所有客戶下載和使用無密碼解決方案。
• 審查并執行建議的Exchange Online訪問策略。
• 阻止ActiveSync繞過有條件訪問策略。
• 盡可能阻止來自匿名服務的所有傳入流量。

參考鏈接：https://securityaffairs.co/wordpress/123219/apt/dev-0343-apt-campaing.html