針對美國軍事防務(wù)機(jī)構(gòu)進(jìn)行Office 365間諜攻擊
研究人員發(fā)現(xiàn)了一個(gè)名為DEV-0343的網(wǎng)絡(luò)組織攻擊了美國和以色列的國防技術(shù)公司、波斯灣的入境港口以及與中東有關(guān)的全球海上運(yùn)輸公司。該威脅組織的攻擊方式主要是接管微軟Office 365賬戶。
微軟在2021年7月底開始追蹤這些攻擊活動,并在發(fā)布的一份警報(bào)中詳細(xì)介紹了這些攻擊手法,并補(bǔ)充說,該罪犯似乎一直在從事網(wǎng)絡(luò)間諜活動,同時(shí)該組織與伊朗有聯(lián)系,并且網(wǎng)絡(luò)攻擊者正在對Office 365賬戶進(jìn)行大面積的密碼噴灑攻擊。
密碼噴灑攻擊是針對在線賬戶使用大量用戶名和一系列不同密碼進(jìn)行攻擊的過程,攻擊者希望找到正確的密碼并獲得對受密碼保護(hù)賬戶的訪問權(quán)限。微軟表示,在這種情況下,攻擊者通常會對每個(gè)目標(biāo)組織內(nèi)的幾十個(gè)到幾百個(gè)賬戶進(jìn)行攻擊,并且會對每個(gè)賬戶嘗試數(shù)千個(gè)憑證組合。
據(jù)該公司稱,到目前為止,該活動已對大約250個(gè)使用微軟云辦公套件的組織進(jìn)行了攻擊,其中有將近20個(gè)組織受到了影響。然而,該計(jì)算巨頭警告說,DEV-0343在繼續(xù)完善他們的攻擊技術(shù)。
據(jù)分析,目前發(fā)現(xiàn)的攻擊源使用的是一個(gè)Firefox或Chrome瀏覽器,并在Tor代理網(wǎng)絡(luò)上使用輪換的IP地址進(jìn)行攻擊。微軟說,平均下來,每次攻擊都會使用150到1000個(gè)獨(dú)立的IP地址,攻擊者這樣做是為了混淆攻擊的來源,增加攻擊溯源的難度。
研究人員說,每次進(jìn)行密碼爆破攻擊都改變IP地址正在成為威脅集團(tuán)中的一個(gè)很常見的攻擊技術(shù),通常情況下,威脅集團(tuán)會隨機(jī)使用他們用戶代理以及IP地址進(jìn)行攻擊。由于現(xiàn)在出現(xiàn)的提供大量住宅IP地址的服務(wù)使得該技術(shù)很容易實(shí)現(xiàn)。而這些服務(wù)往往是通過瀏覽器插件來啟用的。
使用這種代理地址使得開發(fā)指標(biāo)或IoCs變得非常困難,但微軟在攻擊中觀察到的攻擊模式還包括:
1、來自Tor IP地址的大量入站流量用于密碼噴射攻擊活動
2、在密碼噴灑活動中模擬FireFox(最常見)或Chrome瀏覽器
3、枚舉Exchange ActiveSync(最常見)或Autodiscover端點(diǎn)
4、使用類似于"o365spray "工具的枚舉/密碼噴射工具
5、使用Autodiscover來驗(yàn)證賬戶和密碼
攻擊者通常會針對兩個(gè)Exchange端點(diǎn)--Autodiscover和ActiveSync來進(jìn)行他們的枚舉/密碼噴灑攻擊。據(jù)微軟稱,這使得DEV-0343能夠很容易驗(yàn)證活動賬戶和密碼,并進(jìn)一步完善他們的密碼噴灑攻擊活動。
據(jù)稱與伊朗有關(guān)
該集團(tuán)使用的帶有 "DEV "的名稱只是微軟臨時(shí)指定的名稱,它代表著一個(gè)在不斷壯大的攻擊活動群體。在對攻擊者有了更多了解后,微軟將會給它取一個(gè)永久性的名字。
但目前,有證據(jù)表明攻擊者是伊朗人。例如,微軟說,他們會專門針對制造軍用級雷達(dá)、無人機(jī)技術(shù)、衛(wèi)星系統(tǒng)、應(yīng)急通信系統(tǒng)、地理信息系統(tǒng)(GIS)和空間分析的公司,以及港口和運(yùn)輸公司進(jìn)行攻擊。微軟表示,這與伊朗以前對航運(yùn)和海上目標(biāo)的攻擊的特點(diǎn)基本吻合。
該公司指出,根據(jù)攻擊模式分析,這一威脅集團(tuán)可能一直在支持伊朗伊斯蘭共和國的國家利益,并且該模式與來自伊朗的另一個(gè)攻擊者在技術(shù)上非常相似。
另外,該組織在伊朗當(dāng)?shù)貢r(shí)間周日至周四上午7:30至晚上8:30之間最為活躍,微軟公司也在上午7:30至下午2:30之間觀察到了密碼噴射攻擊的高峰。
如何防止office 365被攻擊
為了防止密碼噴射攻擊,微軟建議用戶首先要啟用多因素認(rèn)證。或者使用其他防御策略來保護(hù)賬戶,比如像Microsoft Authenticator這樣的無密碼解決方案;審查Exchange Online訪問策略;阻止ActiveSync客戶端繞過條件訪問策略;并盡可能阻止來自匿名服務(wù)的所有傳入流量。
本文翻譯自:https://threatpost.com/military-defense-spy-campaign/175425/如若轉(zhuǎn)載,請注明原文地址。
