近日,一个由超13万台被入侵设备组成的僵尸网络,正对微软 365账户发动大规模密码喷洒攻击。此次攻击手段隐蔽,且利用了关键安全盲点,给众多行业带来严重威胁。
最近发现的一个由超过13万台被入侵设备组成的僵尸网络,正在对微软 365账户发动协同的密码喷洒攻击。
SecurityScorecard的安全研究人员正在调查,此次攻击利用了由美国提供商SharkTech托管的命令与控制(C2)服务器,而SharkTech此前曾因托管恶意活动而被识别。
SecurityScorecard的威胁情报研究员David Mound表示:“我们STRIKE威胁情报团队的这些发现再次强调,对手如何继续寻找并利用身份验证过程中的漏洞。”“企业不能仅仅依靠多因素身份验证(MFA)作为足够的防御。了解非交互式登录的细微差别对于弥补这些漏洞至关重要。”
这是新的攻击吗?
虽然密码喷洒是一种众所周知的技术,但此次攻击活动因其规模、隐蔽性和利用关键安全盲点而引人注目。与以往的Volt Typhoon攻击和APT33攻击不同,此次僵尸网络利用非交互式登录来规避传统安全控制的检测。
通常,密码喷洒会导致锁定,从而提醒安全团队,然而,此次攻击活动明确针对非交互式登录,这种登录用于服务到服务的身份验证,并不总是生成安全警报。这使得攻击者能够在高度安全的环境中操作,而不会触发MFA防御或条件访问策略(CAP)。
哪些企业面临风险?
此次攻击对许多行业都有影响,但那些严重依赖微软 365进行电子邮件、文档存储和协作的企业可能面临特别大的风险。主要受影响的行业包括:
- 金融服务和保险:欺诈、内部威胁和监管问题的重点目标。
- 医疗保健:未经授权访问患者记录和运营中断的风险。
- 政府和国防:可能的间谍活动和数据外泄问题。
- 技术和SaaS提供商:威胁行为者可能入侵账户以发动供应链攻击。
- 教育和研究机构:大学和实验室仍然是知识产权盗窃的频繁目标。
为何重要?
- 绕过防御:即使安全态势强大的公司,也可能由于这些身份验证尝试记录方式中的漏洞而容易受到攻击。
- 不断增长的趋势:过去的攻击活动中已观察到类似的战术,特别是针对政府机构、关键基础设施和大型企业。
安全团队现在需要做什么?
- 审查非交互式登录日志,寻找未经授权的访问尝试。
- 轮换最近登录尝试中标记的任何账户的凭据。
- 禁用基本身份验证等旧版身份验证协议。
- 监控信息窃取者日志中与其组织相关的被盗凭据。
- 实施条件访问策略,限制非交互式登录尝试。
随着微软计划在2025年9月前完全淘汰基本身份验证,这些攻击凸显了在更大规模利用之前过渡到更安全身份验证方法的紧迫性。
