研究人員發(fā)現(xiàn)了一個(gè)名為DEV-0343的網(wǎng)絡(luò)組織攻擊了美國(guó)和以色列的國(guó)防技術(shù)公司,、波斯灣的入境港口以及與中東有關(guān)的全球海上運(yùn)輸公司,。該威脅組織的攻擊方式主要是接管微軟Office 365賬戶。
微軟在2021年7月底開始追蹤這些攻擊活動(dòng),,并在發(fā)布的一份警報(bào)中詳細(xì)介紹了這些攻擊手法,,并補(bǔ)充說(shuō),該罪犯似乎一直在從事網(wǎng)絡(luò)間諜活動(dòng),同時(shí)該組織與伊朗有聯(lián)系,,并且網(wǎng)絡(luò)攻擊者正在對(duì)Office 365賬戶進(jìn)行大面積的密碼噴灑攻擊,。
密碼噴灑攻擊是針對(duì)在線賬戶使用大量用戶名和一系列不同密碼進(jìn)行攻擊的過(guò)程,攻擊者希望找到正確的密碼并獲得對(duì)受密碼保護(hù)賬戶的訪問(wèn)權(quán)限,。微軟表示,,在這種情況下,攻擊者通常會(huì)對(duì)每個(gè)目標(biāo)組織內(nèi)的幾十個(gè)到幾百個(gè)賬戶進(jìn)行攻擊,,并且會(huì)對(duì)每個(gè)賬戶嘗試數(shù)千個(gè)憑證組合,。
據(jù)該公司稱,到目前為止,,該活動(dòng)已對(duì)大約250個(gè)使用微軟云辦公套件的組織進(jìn)行了攻擊,,其中有將近20個(gè)組織受到了影響。然而,,該計(jì)算巨頭警告說(shuō),,DEV-0343在繼續(xù)完善他們的攻擊技術(shù)。
據(jù)分析,,目前發(fā)現(xiàn)的攻擊源使用的是一個(gè)Firefox或Chrome瀏覽器,,并在Tor代理網(wǎng)絡(luò)上使用輪換的IP地址進(jìn)行攻擊。微軟說(shuō),,平均下來(lái),,每次攻擊都會(huì)使用150到1000個(gè)獨(dú)立的IP地址,攻擊者這樣做是為了混淆攻擊的來(lái)源,,增加攻擊溯源的難度,。
研究人員說(shuō),每次進(jìn)行密碼爆破攻擊都改變IP地址正在成為威脅集團(tuán)中的一個(gè)很常見的攻擊技術(shù),,通常情況下,,威脅集團(tuán)會(huì)隨機(jī)使用他們用戶代理以及IP地址進(jìn)行攻擊。由于現(xiàn)在出現(xiàn)的提供大量住宅IP地址的服務(wù)使得該技術(shù)很容易實(shí)現(xiàn),。而這些服務(wù)往往是通過(guò)瀏覽器插件來(lái)啟用的,。
使用這種代理地址使得開發(fā)指標(biāo)或IoCs變得非常困難,但微軟在攻擊中觀察到的攻擊模式還包括:
1,、來(lái)自Tor IP地址的大量入站流量用于密碼噴射攻擊活動(dòng)
2,、在密碼噴灑活動(dòng)中模擬FireFox(最常見)或Chrome瀏覽器
3、枚舉Exchange ActiveSync(最常見)或Autodiscover端點(diǎn)
4,、使用類似于“o365spray ”工具的枚舉/密碼噴射工具
5,、使用Autodiscover來(lái)驗(yàn)證賬戶和密碼
攻擊者通常會(huì)針對(duì)兩個(gè)Exchange端點(diǎn)--Autodiscover和ActiveSync來(lái)進(jìn)行他們的枚舉/密碼噴灑攻擊。據(jù)微軟稱,,這使得DEV-0343能夠很容易驗(yàn)證活動(dòng)賬戶和密碼,,并進(jìn)一步完善他們的密碼噴灑攻擊活動(dòng),。
據(jù)稱與伊朗有關(guān)
該集團(tuán)使用的帶有 “DEV ”的名稱只是微軟臨時(shí)指定的名稱,它代表著一個(gè)在不斷壯大的攻擊活動(dòng)群體,。在對(duì)攻擊者有了更多了解后,,微軟將會(huì)給它取一個(gè)永久性的名字。
但目前,,有證據(jù)表明攻擊者是伊朗人,。例如,微軟說(shuō),,他們會(huì)專門針對(duì)制造軍用級(jí)雷達(dá),、無(wú)人機(jī)技術(shù)、衛(wèi)星系統(tǒng),、應(yīng)急通信系統(tǒng),、地理信息系統(tǒng)(GIS)和空間分析的公司,以及港口和運(yùn)輸公司進(jìn)行攻擊,。微軟表示,,這與伊朗以前對(duì)航運(yùn)和海上目標(biāo)的攻擊的特點(diǎn)基本吻合。
該公司指出,,根據(jù)攻擊模式分析,這一威脅集團(tuán)可能一直在支持伊朗伊斯蘭共和國(guó)的國(guó)家利益,,并且該模式與來(lái)自伊朗的另一個(gè)攻擊者在技術(shù)上非常相似,。
另外,該組織在伊朗當(dāng)?shù)貢r(shí)間周日至周四上午7:30至晚上8:30之間最為活躍,,微軟公司也在上午7:30至下午2:30之間觀察到了密碼噴射攻擊的高峰,。
如何防止office 365被攻擊
為了防止密碼噴射攻擊,微軟建議用戶首先要啟用多因素認(rèn)證,?;蛘呤褂闷渌烙呗詠?lái)保護(hù)賬戶,比如像Microsoft Authenticator這樣的無(wú)密碼解決方案,;審查Exchange Online訪問(wèn)策略,;阻止ActiveSync客戶端繞過(guò)條件訪問(wèn)策略;并盡可能阻止來(lái)自匿名服務(wù)的所有傳入流量,。