信息來源:安全內(nèi)參
微軟指出����,和伊朗存在關(guān)聯(lián)的威脅行動者正在通過大規(guī)模的密碼噴射攻擊,攻擊美國和以色列國防技術(shù)公司的Office 365租戶�����。
在密碼噴射攻擊中���,威脅行動者試圖通過在多個賬戶同時使用相同密碼暴力攻擊賬戶���,從而通過不同的IP地址隱藏失敗嘗試���。這就使得攻擊者能夠打敗自動化防護措施如通過密碼鎖定和惡意IP攔截,來攔截多次的登陸失敗嘗試�。
微軟威脅情報中心 (MSTIC) 和微軟數(shù)字化安全單元 (DSU) 將這次活動臨時稱為“DEV-0343”,它們在今年7月末開始跟蹤該活動�。
攻擊符合伊朗政府的利益
微軟指出,這起惡意活動符合伊朗的國家利益�����,其所使用的技術(shù)和針對的攻擊目標(biāo)和另外一個伊朗威脅行動者一致��?���;谏钅J椒治鲆约芭c其它伊朗黑客組織的行業(yè)和地理目標(biāo)存在大量交叉,微軟認(rèn)為DEV-0343和伊朗存在關(guān)聯(lián)�����。
微軟指出�����,“支持美國���、歐盟和以色列政府合作伙伴生產(chǎn)軍事雷達���、無人機技術(shù)、衛(wèi)星系統(tǒng)和應(yīng)急響應(yīng)通信系統(tǒng)的國防公司均發(fā)生了DEV-0343發(fā)動的惡意活動���?���!?
微軟還表示�����,DEV-0343組織還攻擊地理信息系統(tǒng)��、空間分析��、波斯灣區(qū)域性入境口岸和多家專注于中東地區(qū)業(yè)務(wù)的海運和貨運公司����。DEV-0343操縱者的最終目標(biāo)可能是獲得對商用衛(wèi)星圖像和專有航運計劃和日志的訪問權(quán)限,從而助力伊朗正在開發(fā)的衛(wèi)星計劃����。
微軟已直接通知客戶稱它們或遭定向攻擊或遭攻陷�����,并提供保護賬戶安全的信息�����。
遭攻陷目標(biāo)少于20個
微軟指出遭攻陷的目標(biāo)少于20個�����,而應(yīng)用了多因素認(rèn)證的 Office 365 可應(yīng)對DEV-0343的密碼噴射攻擊��。
DEV-0343 通過枚舉/密碼噴射工具攻擊 Autodiscover 和 ActiveSync Exchange 端點來驗證活躍賬戶并改進其攻擊����。微軟指出���,“它們一般根據(jù)組織機構(gòu)大小���,攻擊數(shù)十個到數(shù)百個賬戶不等,枚舉每個賬戶的次數(shù)為數(shù)十次到數(shù)百次不等�����。平均來看�����,針對每個組織機構(gòu)的攻擊中使用了150到1000多個不等的唯一 Tor 代理IP地址��?���!?
如何防御攻擊
如遭攻擊,則應(yīng)查看日志和網(wǎng)絡(luò)活動中的 DEV-0343行為和技術(shù)�,包括:
-
Tor IP 地址中用于密碼噴射活動的大規(guī)模進站流量
-
在密碼噴射活動中模擬Firefire(最常見)或 Chrome 瀏覽器
-
枚舉 Exchange ActiveSync(最常見)或 Autodiscover 端點
-
使用類似于 “o365spary” 工具的枚舉/密碼噴射工具
-
使用 Autodiscover 驗證賬戶和密碼
-
觀察通常在04:00:00和11:00:00 UTC 時間段內(nèi)達到峰值的密碼噴射活動
微軟建議采取如下防御措施:
研究員還在文章結(jié)尾分享了關(guān)于 Microsofot 365 Defender 和 Azure Ssentinel 高階查詢,以幫助 SecOps 團隊檢測與 DEV-0343 相關(guān)的活動���。
原文鏈接
https://www.bleepingcomputer.com/news/security/microsoft-iran-linked-hackers-target-us-defense-tech-companies/
