和伊朗存在关联的威胁行动者正在通过大规模的密码喷射攻击,攻击美国和以色列国防技术公司的Office 365租户。
微软指出,和伊朗存在关联的威胁行动者正在通过大规模的密码喷射攻击,攻击美国和以色列国防技术公司的Office 365租户。
在密码喷射攻击中,威胁行动者试图通过在多个账户同时使用相同密码暴力攻击账户,从而通过不同的IP地址隐藏失败尝试。这就使得攻击者能够打败自动化防护措施如通过密码锁定和恶意IP拦截,来拦截多次的登陆失败尝试。
微软威胁情报中心 (MSTIC) 和微软数字化安全单元 (DSU) 将这次活动临时称为“DEV-0343”,它们在今年7月末开始跟踪该活动。
攻击符合伊朗政府的利益
微软指出,这起恶意活动符合伊朗的国家利益,其所使用的技术和针对的攻击目标和另外一个伊朗威胁行动者一致。基于生活模式分析以及与其它伊朗黑客组织的行业和地理目标存在大量交叉,微软认为DEV-0343和伊朗存在关联。
微软指出,“支持美国、欧盟和以色列政府合作伙伴生产军事雷达、无人机技术、卫星系统和应急响应通信系统的国防公司均发生了DEV-0343发动的恶意活动。“
微软还表示,DEV-0343组织还攻击地理信息系统、空间分析、波斯湾区域性入境口岸和多家专注于中东地区业务的海运和货运公司。DEV-0343操纵者的最终目标可能是获得对商用卫星图像和专有航运计划和日志的访问权限,从而助力伊朗正在开发的卫星计划。
微软已直接通知客户称它们或遭定向攻击或遭攻陷,并提供保护账户安全的信息。
遭攻陷目标少于20个
微软指出遭攻陷的目标少于20个,而应用了多因素认证的 Office 365 可应对DEV-0343的密码喷射攻击。
DEV-0343 通过枚举/密码喷射工具攻击 Autodiscover 和 ActiveSync Exchange 端点来验证活跃账户并改进其攻击。微软指出,“它们一般根据组织机构大小,攻击数十个到数百个账户不等,枚举每个账户的次数为数十次到数百次不等。平均来看,针对每个组织机构的攻击中使用了150到1000多个不等的唯一 Tor 代理IP地址。”
如何防御攻击
如遭攻击,则应查看日志和网络活动中的 DEV-0343行为和技术,包括:
Tor IP 地址中用于密码喷射活动的大规模进站流量
在密码喷射活动中模拟Firefire(最常见)或 Chrome 浏览器
枚举 Exchange ActiveSync(最常见)或 Autodiscover 端点
使用类似于 “o365spary” 工具的枚举/密码喷射工具
使用 Autodiscover 验证账户和密码
观察通常在04:00:00和11:00:00 UTC 时间段内达到峰值的密码喷射活动
微软建议采取如下防御措施:
启用多因素验证机制缓解受陷凭据
强烈建议所有客户下载并使用无密码解决方案
审计并执行Exchange Online 访问策略建议
拦截 ActiveSync 客户端绕过 Conditional Access 策略
尽可能地拦截匿名服务的进站流量
研究员还分享了关于 Microsofot 365 Defender 和 Azure Ssentinel 高阶查询,以帮助 SecOps 团队检测与 DEV-0343 相关的活动。(文章来源:代码卫士)