行業(yè)動(dòng)態(tài)

微軟稱伊朗國(guó)家黑客攻擊美國(guó)國(guó)防技術(shù)公司

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-10-13    瀏覽次數(shù):
 

信息來(lái)源:安全內(nèi)參

微軟指出,和伊朗存在關(guān)聯(lián)的威脅行動(dòng)者正在通過大規(guī)模的密碼噴射攻擊,攻擊美國(guó)和以色列國(guó)防技術(shù)公司的Office 365租戶。

在密碼噴射攻擊中,威脅行動(dòng)者試圖通過在多個(gè)賬戶同時(shí)使用相同密碼暴力攻擊賬戶,從而通過不同的IP地址隱藏失敗嘗試。這就使得攻擊者能夠打敗自動(dòng)化防護(hù)措施如通過密碼鎖定和惡意IP攔截,來(lái)攔截多次的登陸失敗嘗試。

微軟威脅情報(bào)中心 (MSTIC) 和微軟數(shù)字化安全單元 (DSU) 將這次活動(dòng)臨時(shí)稱為“DEV-0343”,它們?cè)诮衲?月末開始跟蹤該活動(dòng)。

攻擊符合伊朗政府的利益

微軟指出,這起惡意活動(dòng)符合伊朗的國(guó)家利益,其所使用的技術(shù)和針對(duì)的攻擊目標(biāo)和另外一個(gè)伊朗威脅行動(dòng)者一致?;谏钅J椒治鲆约芭c其它伊朗黑客組織的行業(yè)和地理目標(biāo)存在大量交叉,微軟認(rèn)為DEV-0343和伊朗存在關(guān)聯(lián)。

微軟指出,“支持美國(guó)、歐盟和以色列政府合作伙伴生產(chǎn)軍事雷達(dá)、無(wú)人機(jī)技術(shù)、衛(wèi)星系統(tǒng)和應(yīng)急響應(yīng)通信系統(tǒng)的國(guó)防公司均發(fā)生了DEV-0343發(fā)動(dòng)的惡意活動(dòng)。“

微軟還表示,DEV-0343組織還攻擊地理信息系統(tǒng)、空間分析、波斯灣區(qū)域性入境口岸和多家專注于中東地區(qū)業(yè)務(wù)的海運(yùn)和貨運(yùn)公司。DEV-0343操縱者的最終目標(biāo)可能是獲得對(duì)商用衛(wèi)星圖像和專有航運(yùn)計(jì)劃和日志的訪問權(quán)限,從而助力伊朗正在開發(fā)的衛(wèi)星計(jì)劃。

微軟已直接通知客戶稱它們或遭定向攻擊或遭攻陷,并提供保護(hù)賬戶安全的信息。

遭攻陷目標(biāo)少于20個(gè)

微軟指出遭攻陷的目標(biāo)少于20個(gè),而應(yīng)用了多因素認(rèn)證的 Office 365 可應(yīng)對(duì)DEV-0343的密碼噴射攻擊。

DEV-0343 通過枚舉/密碼噴射工具攻擊 Autodiscover 和 ActiveSync Exchange 端點(diǎn)來(lái)驗(yàn)證活躍賬戶并改進(jìn)其攻擊。微軟指出,“它們一般根據(jù)組織機(jī)構(gòu)大小,攻擊數(shù)十個(gè)到數(shù)百個(gè)賬戶不等,枚舉每個(gè)賬戶的次數(shù)為數(shù)十次到數(shù)百次不等。平均來(lái)看,針對(duì)每個(gè)組織機(jī)構(gòu)的攻擊中使用了150到1000多個(gè)不等的唯一 Tor 代理IP地址?!?

如何防御攻擊

如遭攻擊,則應(yīng)查看日志和網(wǎng)絡(luò)活動(dòng)中的 DEV-0343行為和技術(shù),包括:

  • Tor IP 地址中用于密碼噴射活動(dòng)的大規(guī)模進(jìn)站流量

  • 在密碼噴射活動(dòng)中模擬Firefire(最常見)或 Chrome 瀏覽器

  • 枚舉 Exchange ActiveSync(最常見)或 Autodiscover 端點(diǎn)

  • 使用類似于 “o365spary” 工具的枚舉/密碼噴射工具

  • 使用 Autodiscover 驗(yàn)證賬戶和密碼

  • 觀察通常在04:00:00和11:00:00 UTC 時(shí)間段內(nèi)達(dá)到峰值的密碼噴射活動(dòng)

微軟建議采取如下防御措施:

  • 啟用多因素驗(yàn)證機(jī)制緩解受陷憑據(jù)

  • 強(qiáng)烈建議所有客戶下載并使用無(wú)密碼解決方案

  • 審計(jì)并執(zhí)行Exchange Online 訪問策略建議

    ? 攔截 ActiveSync 客戶端繞過 Conditional Access 策略

  • 盡可能地?cái)r截匿名服務(wù)的進(jìn)站流量

研究員還在文章結(jié)尾分享了關(guān)于 Microsofot 365 Defender 和 Azure Ssentinel 高階查詢,以幫助 SecOps 團(tuán)隊(duì)檢測(cè)與 DEV-0343 相關(guān)的活動(dòng)。

原文鏈接

https://www.bleepingcomputer.com/news/security/microsoft-iran-linked-hackers-target-us-defense-tech-companies/

 
 

上一篇:現(xiàn)場(chǎng)速遞!聚銘網(wǎng)絡(luò)在2021國(guó)家網(wǎng)絡(luò)安全宣傳周博覽會(huì)現(xiàn)場(chǎng)發(fā)布新一代聚銘網(wǎng)絡(luò)脆弱性掃描系統(tǒng)

下一篇:警惕!挖礦木馬盯上華為云,利用“配置錯(cuò)誤”發(fā)動(dòng)攻擊