Эксперты SecurityScorecard зафиксировали активность крупного ботнета, состоящего из более чем 130 тыс. взломанных устройств, который атакует учетные записи Microsoft 365. Используя метод подбора паролей, злоумышленники обходят многофакторную аутентификацию и получают доступ к конфиденциальным данным.
По информации SecurityScorecard, для атак применяются учетные данные, похищенные вредоносными программами, специализирующимися на краже информации. Такая тактика позволяет преступникам проникать в корпоративные сети, перехватывать электронную переписку и использовать компрометированные аккаунты для дальнейшего распространения угроз. Помимо этого, массовые попытки входа могут вызывать блокировку учетных записей, что приводит к сбоям в работе компаний.
В зоне повышенного риска оказались сферы, активно использующие Microsoft 365 для обмена информацией и управления документами. К ним относятся финансовые организации, медицинские учреждения, государственные структуры и технологические компании.
Специалисты считают, что атаки осуществляются группировкой, связанной с Китаем. Об этом свидетельствует использование инфраструктуры CDS Global Cloud и UCLOUD HK — провайдеров, имеющих связи с КНР. Кроме того, серверы управления ботнета размещены у американского хостинг-провайдера SharkTech, ранее замеченного в поддержке вредоносной активности. Часовой пояс этих серверов установлен как «Азия/Шанхай».
Преступники применяют методы, позволяющие обходить защитные механизмы, включая многофакторную аутентификацию и политики условного доступа. В ходе атак фиксируются попытки входа, классифицируемые как неинтерактивные. Такой тип авторизации не требует ввода дополнительных факторов подтверждения, так как выполняется клиентским приложением или системными процессами от имени пользователя. В результате такие попытки часто остаются незамеченными службами безопасности.
SecurityScorecard предупреждает, что компании, ориентирующиеся только на мониторинг интерактивных входов, могут не распознать подобные угрозы. Эксперты отмечают, что злоумышленники активно используют этот пробел в защите для скрытых атак, что подтверждается случаями взлома пользователей Microsoft 365 по всему миру.
Полный отчёт доступен по ссылке.
Оригинал публикации на сайте CISOCLUB: "SecurityScorecard: китайский ботнет атакует Microsoft 365, обходя многофакторную аутентификацию".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.