В понеделник SecurityScorecard съобщи, че ботнет, контролиран от заплаха, свързана с Китай, е бил насочен към акаунти в Microsoft 365 с мащабни атаки с разпръскване на пароли.
Според фирмата за сигурност ботнетът се захранва от повече от 130 000 компрометирани устройства, а атаките, насочени към акаунти в Microsoft 365, разчитат на неинтерактивни влизания с основна автентификация.
„Неинтерактивните вписвания, които обикновено се използват за удостоверяване на автентичността между услуги, наследени протоколи (напр. POP, IMAP, SMTP) и автоматизирани процеси, не задействат MFA в много конфигурации. Основното удостоверяване, което все още е разрешено в някои среди, позволява предаването на идентификационните данни в обикновен вид, което го прави основна цел за нападателите“, казва SecurityScorecard.
Въпреки че Microsoft е в процес на премахване на Basic Authentication, фирмата за сигурност предупреждава, че тези атаки представляват непосредствена заплаха.
Атаката е скрита, защото опитите за разпръскване на пароли се записват в неинтерактивни логове за влизане, които често не се наблюдават от екипите по сигурността.
SecurityScorecard е идентифицирала няколко сървъра за управление и контрол, разположени в САЩ. Наблюдението на връзките към тези сървъри в продължение на четири часа показа, че с тях комуникират 130 000 устройства.
Ботнетът, задвижван от тези устройства, взема пълномощни, получени от зловреден софтуер за кражба на информация, и ги тества срещу акаунти в Microsoft 365.
След като получат достъп до акаунтите, хакерите могат да получат чувствителна информация, да причинят смущения в бизнес операциите и да се придвижат по странични линии в рамките на набелязаната организация.
Фирмата за сигурност смята, че ботнетът вероятно се контролира от китайска група за заплахи, но отбеляза, че усилията ѝ за приписване на вината продължават.
През октомври 2024 г. Microsoft съобщи, че е забелязала множество китайски заплахи, които са използвали пълномощия, получени от операция за разпръскване на пароли, в която е участвала мрежа от компрометирани устройства, проследени като CovertNetwork-1658, Xlogin и Quad7.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
