A SecurityScorecard szakértői egy több mint 130 000 eszközből álló botnetet azonosítottak, amely jelszószóró támadásokat (password spraying) hajt végre Microsoft 365 (M365) fiókok ellen, kihasználva az alaphitelesítés (Basic Authentication) gyengeségeit. A támadás megkerüli a többfaktoros hitelesítést (MFA), mivel a nem interaktív bejelentkezési folyamatokat használja, amelyeket sok szervezet nem monitoroz megfelelően.
A botnet az infostealer malware-ekkel ellopott hitelesítő adatokat tömegesen próbálja ki különböző M365 fiókokon. A támadók az alaphitelesítési protokollokat kihasználva kerülnek be a rendszerekbe, mivel ezek titkosítatlan hitelesítő adatokat továbbítanak, és sok szervezet még mindig engedélyezi őket. A támadások elosztott módon zajlanak, hogy minimalizálják a fiókzárolásokat és maximalizálják a kompromittálás esélyét.
A támadások a nem interaktív bejelentkezési naplókban (Non-Interactive Sign-In logs) jelennek meg, amelyeket sok biztonsági csapat figyelmen kívül hagy. Ennek eredményeként a támadók kikerülhetik az MFA-t és a Feltételes Hozzáférési Szabályokat (Conditional Access Policies, CAP).
A támadások elemzése során a kutatók visszatérő IP címeket azonosítottak, amelyek a Sharktech infrastruktúrájához köthetők, és főként a 12341, 12342 és 12348 portokon kommunikálnak. További két jelentős, Kínához köthető szolgáltató, a CDSC-AS1 és UCLOUD HK is érintett. A kiberbiztonsági cég hat botnet C2 (Command and Control) szervert azonosított, amelyek Apache Zookeeper és Kafka rendszereket használnak a műveletek koordinálására, és az Asia/Shanghai időzónához szinkronizáltak, ami a támadók földrajzi helyzetére utalhat.
A támadások kivédése érdekében a szervezeteknek haladéktalanul le kell tiltaniuk az alapvető hitelesítést, és fokozottan figyelniük kell a nem interaktív bejelentkezési naplók elemzésére!
A kompromittált fiókok kiszűréséhez javasolt a következők elvégzése:
- Erős, hosszú és egyedi jelszavak alkalmazása, amelyek csökkentik a jelszószóró támadások hatékonyságát.
- Többfaktoros hitelesítés kikényszerítése, és annak biztosítása, hogy az MFA minden bejelentkezési folyamatra vonatkozzon.
- Conditional Access Policies frissítése, hogy kizárják az alapvető hitelesítést használó kísérleteket.
- Darkweb és egyéb forrásokból kiszivárgott hitelesítési adatok figyelése, a kompromittált fiókok azonnali zárolása és jelszavaik cseréje.
A SecurityScorecard szerint a támadásokat egy kínai kötődésű szereplő hajthatja végre, és a fenyegetés továbbra is aktív, ezért a biztonsági stratégiák átfogó felülvizsgálata elengedhetetlen.
