Добавить в корзинуПозвонить
Найти в Дзене
OVERCLOCKERS.RU

Более 81 млн попыток взлома аккаунтов Microsoft 365 зафиксировали за две недели

С 12 по 26 июня 2026 года зафиксирована масштабная кампания автоматизированного подбора паролей, нацеленная на учётные записи Microsoft 365. Злоумышленники действовали через интерфейс командной строки Microsoft Azure и за две недели предприняли более 81 млн попыток входа, что привело к компрометации 78 учётных записей в 64 организациях. Источник изображения: Microsoft Основной объём вредоносного трафика исходил от провайдера интернет-инфраструктуры LSHIY LLC с IPv6-адресов диапазона 2a0a:d683::/32, связанных с автономной системой AS32167. Компания Huntress, обнаружившая атаку, направила уведомление о злоупотреблениях в адрес LSHIY, но ответа не получила. Для проведения атак применялся устаревший поток OAuth 2.0 под названием «предоставление учётных данных владельца ресурса» (ROPC). Этот механизм передаёт имя пользователя и пароль напрямую в конечную точку /token и не поддерживает многофакторную аутентификацию (MFA) или единый вход, что позволяло обходить политики условного доступа при

С 12 по 26 июня 2026 года зафиксирована масштабная кампания автоматизированного подбора паролей, нацеленная на учётные записи Microsoft 365. Злоумышленники действовали через интерфейс командной строки Microsoft Azure и за две недели предприняли более 81 млн попыток входа, что привело к компрометации 78 учётных записей в 64 организациях.

Источник изображения: Microsoft

Основной объём вредоносного трафика исходил от провайдера интернет-инфраструктуры LSHIY LLC с IPv6-адресов диапазона 2a0a:d683::/32, связанных с автономной системой AS32167. Компания Huntress, обнаружившая атаку, направила уведомление о злоупотреблениях в адрес LSHIY, но ответа не получила.

Для проведения атак применялся устаревший поток OAuth 2.0 под названием «предоставление учётных данных владельца ресурса» (ROPC). Этот механизм передаёт имя пользователя и пароль напрямую в конечную точку /token и не поддерживает многофакторную аутентификацию (MFA) или единый вход, что позволяло обходить политики условного доступа при их настройке не на все типы клиентских приложений, включая Azure CLI.

В ходе расследования выяснилось, что во многих атакованных компаниях MFA была внедрена некорректно. Действие MFA зачастую распространялось только на определённые приложения или группы пользователей, например администраторов, не охватывая Azure CLI. В других случаях MFA требовалась лишь при входе из ненадёжных местоположений, однако из-за неточностей геолокации IP-адреса атакующих могли ошибочно идентифицироваться как доверенные. Политики MFA нередко включались исключительно в режиме отчетности без фактического принудительного применения, а в восьми организациях такая политика отсутствовала полностью.

В Huntress рекомендуют для защиты от подобных угроз настроить политики условного доступа так, чтобы MFA требовалась для всех пользователей, всех облачных приложений и всех типов клиентских приложений, а также ограничить использование Azure CLI для неадминистративных пользователей. При реагировании на инциденты приоритетом должна быть проверка достоверности учётных данных, а не оценка общего объёма попыток подбора.

Читайте далее на сайте

-2

Bloomberg: Sony прекратит выпуск физических дисков для PlayStation в 2028 году