信息來源:安全內(nèi)參
微軟指出,和伊朗存在關(guān)聯(lián)的威脅行動者正在通過大規(guī)模的密碼噴射攻擊,攻擊美國和以色列國防技術(shù)公司的Office 365租戶。
在密碼噴射攻擊中,威脅行動者試圖通過在多個賬戶同時使用相同密碼暴力攻擊賬戶,從而通過不同的IP地址隱藏失敗嘗試。這就使得攻擊者能夠打敗自動化防護措施如通過密碼鎖定和惡意IP攔截,來攔截多次的登陸失敗嘗試。
微軟威脅情報中心 (MSTIC) 和微軟數(shù)字化安全單元 (DSU) 將這次活動臨時稱為“DEV-0343”,它們在今年7月末開始跟蹤該活動。
攻擊符合伊朗政府的利益
微軟指出,這起惡意活動符合伊朗的國家利益,其所使用的技術(shù)和針對的攻擊目標和另外一個伊朗威脅行動者一致?;谏钅J椒治鲆约芭c其它伊朗黑客組織的行業(yè)和地理目標存在大量交叉,微軟認為DEV-0343和伊朗存在關(guān)聯(lián)。
微軟指出,“支持美國、歐盟和以色列政府合作伙伴生產(chǎn)軍事雷達、無人機技術(shù)、衛(wèi)星系統(tǒng)和應急響應通信系統(tǒng)的國防公司均發(fā)生了DEV-0343發(fā)動的惡意活動。“
微軟還表示,DEV-0343組織還攻擊地理信息系統(tǒng)、空間分析、波斯灣區(qū)域性入境口岸和多家專注于中東地區(qū)業(yè)務(wù)的海運和貨運公司。DEV-0343操縱者的最終目標可能是獲得對商用衛(wèi)星圖像和專有航運計劃和日志的訪問權(quán)限,從而助力伊朗正在開發(fā)的衛(wèi)星計劃。
微軟已直接通知客戶稱它們或遭定向攻擊或遭攻陷,并提供保護賬戶安全的信息。
遭攻陷目標少于20個
微軟指出遭攻陷的目標少于20個,而應用了多因素認證的 Office 365 可應對DEV-0343的密碼噴射攻擊。
DEV-0343 通過枚舉/密碼噴射工具攻擊 Autodiscover 和 ActiveSync Exchange 端點來驗證活躍賬戶并改進其攻擊。微軟指出,“它們一般根據(jù)組織機構(gòu)大小,攻擊數(shù)十個到數(shù)百個賬戶不等,枚舉每個賬戶的次數(shù)為數(shù)十次到數(shù)百次不等。平均來看,針對每個組織機構(gòu)的攻擊中使用了150到1000多個不等的唯一 Tor 代理IP地址?!?
如何防御攻擊
如遭攻擊,則應查看日志和網(wǎng)絡(luò)活動中的 DEV-0343行為和技術(shù),包括:
-
Tor IP 地址中用于密碼噴射活動的大規(guī)模進站流量
-
在密碼噴射活動中模擬Firefire(最常見)或 Chrome 瀏覽器
-
枚舉 Exchange ActiveSync(最常見)或 Autodiscover 端點
-
使用類似于 “o365spary” 工具的枚舉/密碼噴射工具
-
使用 Autodiscover 驗證賬戶和密碼
-
觀察通常在04:00:00和11:00:00 UTC 時間段內(nèi)達到峰值的密碼噴射活動
微軟建議采取如下防御措施:
研究員還在文章結(jié)尾分享了關(guān)于 Microsofot 365 Defender 和 Azure Ssentinel 高階查詢,以幫助 SecOps 團隊檢測與 DEV-0343 相關(guān)的活動。
原文鏈接
https://www.bleepingcomputer.com/news/security/microsoft-iran-linked-hackers-target-us-defense-tech-companies/