信息來源:安全內(nèi)參
微軟指出,和伊朗存在關(guān)聯(lián)的威脅行動(dòng)者正在通過大規(guī)模的密碼噴射攻擊,攻擊美國和以色列國防技術(shù)公司的Office 365租戶。
在密碼噴射攻擊中,威脅行動(dòng)者試圖通過在多個(gè)賬戶同時(shí)使用相同密碼暴力攻擊賬戶,從而通過不同的IP地址隱藏失敗嘗試。這就使得攻擊者能夠打敗自動(dòng)化防護(hù)措施如通過密碼鎖定和惡意IP攔截,來攔截多次的登陸失敗嘗試。
微軟威脅情報(bào)中心 (MSTIC) 和微軟數(shù)字化安全單元 (DSU) 將這次活動(dòng)臨時(shí)稱為“DEV-0343”,它們?cè)诮衲?月末開始跟蹤該活動(dòng)。
攻擊符合伊朗政府的利益
微軟指出,這起惡意活動(dòng)符合伊朗的國家利益,其所使用的技術(shù)和針對(duì)的攻擊目標(biāo)和另外一個(gè)伊朗威脅行動(dòng)者一致?;谏钅J椒治鲆约芭c其它伊朗黑客組織的行業(yè)和地理目標(biāo)存在大量交叉,微軟認(rèn)為DEV-0343和伊朗存在關(guān)聯(lián)。
微軟指出,“支持美國、歐盟和以色列政府合作伙伴生產(chǎn)軍事雷達(dá)、無人機(jī)技術(shù)、衛(wèi)星系統(tǒng)和應(yīng)急響應(yīng)通信系統(tǒng)的國防公司均發(fā)生了DEV-0343發(fā)動(dòng)的惡意活動(dòng)?!?
微軟還表示,DEV-0343組織還攻擊地理信息系統(tǒng)、空間分析、波斯灣區(qū)域性入境口岸和多家專注于中東地區(qū)業(yè)務(wù)的海運(yùn)和貨運(yùn)公司。DEV-0343操縱者的最終目標(biāo)可能是獲得對(duì)商用衛(wèi)星圖像和專有航運(yùn)計(jì)劃和日志的訪問權(quán)限,從而助力伊朗正在開發(fā)的衛(wèi)星計(jì)劃。
微軟已直接通知客戶稱它們或遭定向攻擊或遭攻陷,并提供保護(hù)賬戶安全的信息。
遭攻陷目標(biāo)少于20個(gè)
微軟指出遭攻陷的目標(biāo)少于20個(gè),而應(yīng)用了多因素認(rèn)證的 Office 365 可應(yīng)對(duì)DEV-0343的密碼噴射攻擊。
DEV-0343 通過枚舉/密碼噴射工具攻擊 Autodiscover 和 ActiveSync Exchange 端點(diǎn)來驗(yàn)證活躍賬戶并改進(jìn)其攻擊。微軟指出,“它們一般根據(jù)組織機(jī)構(gòu)大小,攻擊數(shù)十個(gè)到數(shù)百個(gè)賬戶不等,枚舉每個(gè)賬戶的次數(shù)為數(shù)十次到數(shù)百次不等。平均來看,針對(duì)每個(gè)組織機(jī)構(gòu)的攻擊中使用了150到1000多個(gè)不等的唯一 Tor 代理IP地址?!?
如何防御攻擊
如遭攻擊,則應(yīng)查看日志和網(wǎng)絡(luò)活動(dòng)中的 DEV-0343行為和技術(shù),包括:
-
Tor IP 地址中用于密碼噴射活動(dòng)的大規(guī)模進(jìn)站流量
-
在密碼噴射活動(dòng)中模擬Firefire(最常見)或 Chrome 瀏覽器
-
枚舉 Exchange ActiveSync(最常見)或 Autodiscover 端點(diǎn)
-
使用類似于 “o365spary” 工具的枚舉/密碼噴射工具
-
使用 Autodiscover 驗(yàn)證賬戶和密碼
-
觀察通常在04:00:00和11:00:00 UTC 時(shí)間段內(nèi)達(dá)到峰值的密碼噴射活動(dòng)
微軟建議采取如下防御措施:
-
啟用多因素驗(yàn)證機(jī)制緩解受陷憑據(jù)
-
強(qiáng)烈建議所有客戶下載并使用無密碼解決方案
-
審計(jì)并執(zhí)行Exchange Online 訪問策略建議
? 攔截 ActiveSync 客戶端繞過 Conditional Access 策略
-
盡可能地?cái)r截匿名服務(wù)的進(jìn)站流量
研究員還在文章結(jié)尾分享了關(guān)于 Microsofot 365 Defender 和 Azure Ssentinel 高階查詢,以幫助 SecOps 團(tuán)隊(duì)檢測與 DEV-0343 相關(guān)的活動(dòng)。
原文鏈接
https://www.bleepingcomputer.com/news/security/microsoft-iran-linked-hackers-target-us-defense-tech-companies/