行業(yè)動態(tài)

微軟稱伊朗國家黑客攻擊美國國防技術(shù)公司

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2021-10-13    瀏覽次數(shù):
 

信息來源:安全內(nèi)參

微軟指出,和伊朗存在關(guān)聯(lián)的威脅行動者正在通過大規(guī)模的密碼噴射攻擊,攻擊美國和以色列國防技術(shù)公司的Office 365租戶。

在密碼噴射攻擊中,威脅行動者試圖通過在多個賬戶同時使用相同密碼暴力攻擊賬戶,從而通過不同的IP地址隱藏失敗嘗試。這就使得攻擊者能夠打敗自動化防護措施如通過密碼鎖定和惡意IP攔截,來攔截多次的登陸失敗嘗試。

微軟威脅情報中心 (MSTIC) 和微軟數(shù)字化安全單元 (DSU) 將這次活動臨時稱為“DEV-0343”,它們在今年7月末開始跟蹤該活動。

攻擊符合伊朗政府的利益

微軟指出,這起惡意活動符合伊朗的國家利益,其所使用的技術(shù)和針對的攻擊目標和另外一個伊朗威脅行動者一致?;谏钅J椒治鲆约芭c其它伊朗黑客組織的行業(yè)和地理目標存在大量交叉,微軟認為DEV-0343和伊朗存在關(guān)聯(lián)。

微軟指出,“支持美國、歐盟和以色列政府合作伙伴生產(chǎn)軍事雷達、無人機技術(shù)、衛(wèi)星系統(tǒng)和應急響應通信系統(tǒng)的國防公司均發(fā)生了DEV-0343發(fā)動的惡意活動。“

微軟還表示,DEV-0343組織還攻擊地理信息系統(tǒng)、空間分析、波斯灣區(qū)域性入境口岸和多家專注于中東地區(qū)業(yè)務(wù)的海運和貨運公司。DEV-0343操縱者的最終目標可能是獲得對商用衛(wèi)星圖像和專有航運計劃和日志的訪問權(quán)限,從而助力伊朗正在開發(fā)的衛(wèi)星計劃。

微軟已直接通知客戶稱它們或遭定向攻擊或遭攻陷,并提供保護賬戶安全的信息。

遭攻陷目標少于20個

微軟指出遭攻陷的目標少于20個,而應用了多因素認證的 Office 365 可應對DEV-0343的密碼噴射攻擊。

DEV-0343 通過枚舉/密碼噴射工具攻擊 Autodiscover 和 ActiveSync Exchange 端點來驗證活躍賬戶并改進其攻擊。微軟指出,“它們一般根據(jù)組織機構(gòu)大小,攻擊數(shù)十個到數(shù)百個賬戶不等,枚舉每個賬戶的次數(shù)為數(shù)十次到數(shù)百次不等。平均來看,針對每個組織機構(gòu)的攻擊中使用了150到1000多個不等的唯一 Tor 代理IP地址?!?

如何防御攻擊

如遭攻擊,則應查看日志和網(wǎng)絡(luò)活動中的 DEV-0343行為和技術(shù),包括:

  • Tor IP 地址中用于密碼噴射活動的大規(guī)模進站流量

  • 在密碼噴射活動中模擬Firefire(最常見)或 Chrome 瀏覽器

  • 枚舉 Exchange ActiveSync(最常見)或 Autodiscover 端點

  • 使用類似于 “o365spary” 工具的枚舉/密碼噴射工具

  • 使用 Autodiscover 驗證賬戶和密碼

  • 觀察通常在04:00:00和11:00:00 UTC 時間段內(nèi)達到峰值的密碼噴射活動

微軟建議采取如下防御措施:

  • 啟用多因素驗證機制緩解受陷憑據(jù)

  • 強烈建議所有客戶下載并使用無密碼解決方案

  • 審計并執(zhí)行Exchange Online 訪問策略建議

    ? 攔截 ActiveSync 客戶端繞過 Conditional Access 策略

  • 盡可能地攔截匿名服務(wù)的進站流量

研究員還在文章結(jié)尾分享了關(guān)于 Microsofot 365 Defender 和 Azure Ssentinel 高階查詢,以幫助 SecOps 團隊檢測與 DEV-0343 相關(guān)的活動。

原文鏈接

https://www.bleepingcomputer.com/news/security/microsoft-iran-linked-hackers-target-us-defense-tech-companies/

 
 

上一篇:現(xiàn)場速遞!聚銘網(wǎng)絡(luò)在2021國家網(wǎng)絡(luò)安全宣傳周博覽會現(xiàn)場發(fā)布新一代聚銘網(wǎng)絡(luò)脆弱性掃描系統(tǒng)

下一篇:警惕!挖礦木馬盯上華為云,利用“配置錯誤”發(fā)動攻擊