Недавно была обнаружена крупная хакерская атака, использующая ботнет, состоящий из более чем 130 000 скомпрометированных устройств. Атаки направлены на учетные записи Microsoft 365 (M365) с использованием паролей, что подчеркивает уязвимость современных систем безопасности.
Характеристики атаки
Злоумышленники применяют неинтерактивный вход с помощью базовой аутентификации, что позволяет обходить современные меры защиты, такие как:
- многофакторная аутентификация (MFA)
- политики условного доступа (CAP)
Используя украденные учетные данные, злоумышленники систематически атакуют большое количество учетных записей, оставаясь при этом относительно незамеченными. Попытки входа в систему регистрируются в журналах неинтерактивного входа, что позволяет им проводить множество попыток без тревожных уведомлений от системы безопасности.
Структура ботнета
Инфраструктура ботнета включает несколько серверов управления (C2), размещенных в основном в Соединенных Штатах у провайдеров, связанных с Китаем, таких как CDS Cloud и UCLOUD HK. Анализ сетевого трафика показывает, что атаки проводятся через порты:
- 12341
- 12342
- 12348 (менее часто используемый)
На данный момент идентифицировано по меньшей мере шесть серверов, через которые злоумышленники осуществляют свои действия.
Риски для организаций
Этот ботнет представляет собой серьезный риск для организаций, использующих M365. Возможные последствия включают:
- несанкционированный доступ к конфиденциальным данным
- внутренние фишинговые атаки
- сбои в работе из-за блокировок учетных записей при повторных попытках входа
Злоумышленники обходят MFA и CAPs из-за характера неинтерактивных входов, что делает ситуацию еще более проблемной.
Безопасность данных и меры предостережения
Использование базовой аутентификации вызывает серьезную тревогу, так как она была признана устаревшей по соображениям безопасности, но продолжает использоваться хакерами. Кроме того, ботнет, судя по всему, использует Apache Zookeeper и Kafka на своих серверах, что указывает на его сложность в управлении.
Анализ указывает на то, что эти операции продолжаются как минимум с декабря 2024 года. Это подтверждается схемами трафика, связанными с постоянным сигналом маяка между скомпрометированными устройствами и серверами C2.
Рекомендации для организаций
Для предотвращения подобных атак организациям следует:
- Отслеживать журналы неинтерактивного входа на предмет несанкционированного доступа.
- Принудительно сбрасывать пароли для скомпрометированных учетных записей.
- Внедрять автоматические оповещения для быстрого реагирования на подозрительные действия.
- Постоянно проверять учетные данные на утечки на различных форумах и платформах.
Своевременное выявление и судебно-медицинский анализ нарушений являются важнейшими шагами на пути к пониманию этих угроз и эффективному противодействию им.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Киберугроза: Масштабная атака ботнета на Microsoft 365".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
