Огромный ботнет из 130 000 устройств стал взламывать аккаунты Microsoft 365 распылением паролей

Исследователи безопасности из компании SecurityScorecard обвинили китайских хакеров в проведении массовых скоординированных атак методом распыления паролей на учетные записи Microsoft 365. Обычно распыление паролей блокируется системами безопасности, однако эта кампания нацелена на неинтерактивные входы, используемые для аутентификации между службами, которые не всегда генерируют оповещения безопасности.

Огромный ботнет из 130 000 устройств стал взламывать аккаунты Microsoft 365 распылением паролей

Распыление паролей — это один из методов взлома, который предполагает использование списка часто используемых паролей для массовой атаки на множество учётных записей. Такие атаки нередко бывают успешными, поскольку многие пользователи защищают свои аккаунты простыми паролями, которые несложно подобрать, например, «123456», «password» или «qwerty123». Мировой рекордсмен 2024 года среди паролей, строка «123456», был обнаружен в более чем 3 миллионах учётных записей в процессе исследования компании NordPass. Для взлома такого пароля требуется меньше секунды.

SecurityScorecard в своих обвинениях ссылаются на использование атакующими инфраструктуры, связанной с CDS Global Cloud и UCLOUD HK — организаций, имеющих операционные связи с Китаем. «Эти выводы нашей команды STRIKE Threat Intelligence подтверждают, что злоумышленники продолжают находить и использовать пробелы в процессах аутентификации, — заявил исследователь безопасности SecurityScorecard Дэвид Маунд (David Mound). — Организации не могут позволить себе предполагать, что MFA (многофакторная аутентификация) сама по себе является достаточной защитой. Понимание нюансов неинтерактивных входов имеет решающее значение для устранения этих пробелов».

Хотя распыление паролей — хорошо известная техника, эта кампания отличается своим масштабом, скрытностью и использованием критических слепых зон систем безопасности. В отличие от предыдущих атак, связанных с Solt Typhoon (Китай) и APT33 (Иран), этот ботнет, чтобы избежать обнаружения и блокировки традиционными средствами безопасности, использует неинтерактивные входы, которые применяются для аутентификации между службами и не всегда генерируют оповещения безопасности. Это позволяет злоумышленникам действовать, не активируя защиту MFA или политики условного доступа (CAP), даже в высокозащищённых средах.

Читать также:
Симбиот, Ящер и геймплей за двух Пауков: на PlayStation Showcase показали 12 минут из Marvel’s Spider-Man 2

Эта атака имеет последствия для многих отраслей, но организации, которые в значительной степени полагаются на Microsoft 365 для электронной почты, хранения документов и совместной работы, могут быть подвержены особому риску. Чтобы не стать жертвой кибератак, следует:

  • Проверять неинтерактивные журналы входа на предмет попыток несанкционированного доступа.
  • Менять учётные данные для всех аккаунтов с недавними неудачными попытками входа.
  • Отключить устаревшие протоколы аутентификации.
  • Отслеживать украденные учётные данные, связанные с их организацией, в журналах похитителей информации.
  • Внедрить политики условного доступа, которые ограничивают неинтерактивные попытки входа в систему.

Поскольку Microsoft собирается полностью отказаться от базовой аутентификации к сентябрю 2025 года, эти атаки подчёркивают срочность перехода на более безопасные методы аутентификации, прежде чем они приобретут ещё большие масштабы.

НОВОЕ НА САЙТЕ

Китай выбил Южную Корею со второго места на мировом рынке полупроводников

Исследование Корейского института науки, оценки технологий и планирования (KISTEP) пришло к выводу, что во многих важных секторах полупроводниковой отрасли Китай уже превосходит Южную Корею, включая и традиционно сильный для последней сегмент микросхем памяти. ...

Безлимитное хранилище энергии внезапно обнаружили в Европе

Аккредитованная ООН неправительственная организация Международное общество солнечной энергии (ISES) занимается вопросами возобновляемой энергетики с 1954 года. Имея колоссальный опыт в этой сфере, специалисты ISES видят выгоду там, где другим она кажется невозможной. У Европы...

В России представили устройства Aqara для умного дома — умные лампы, диммеры, датчики и не только

Aqara.ru, официальный дистрибьютор умных устройств бренда Aqara в России, представил для российского рынка интеллектуальные устройства для умного дома, которые расширяют возможности автоматизации и отличаются комфортным использованием, безопасностью и энергоэффективностью. Уже в апреле новинки поступят...

MSI официально подтвердила, что не будет выпускать видеокарты Radeon RX 9000

Представитель MSI в разговоре с Tom’s Hardware официально подтвердил, что компания не планирует выпускать видеокарты Radeon на архитектуре RDNA 4. Производитель на протяжении нескольких поколений видеокарт постепенно снижал интерес к решениям «красной» команды. ...

В Steam пройдёт закрытая «бета» Heroes of Might & Magic: Olden Era, причём уже очень скоро — как получить доступ

У тактической фэнтезийной стратегии Heroes of Might & Magic: Olden Era до сих пор нет даты выхода в раннем доступе, однако уже скоро фанаты смогут прикоснуться к будущему знаменитой серии. ...