微軟報(bào)告發(fā)現(xiàn)了一個(gè)惡意活動(dòng)組織，其目標(biāo)是攻擊美國和以色列的國防技術(shù)公司的Office 365用戶。

10月11日消息，微軟威脅情報(bào)中心(MSTIC)和微軟數(shù)字安全部(DSU)的研究人員發(fā)現(xiàn)了一個(gè)惡意活動(dòng)集群，被追蹤為DEV-0343，其目標(biāo)是美國和以色列國防技術(shù)公司的Office 365用戶。

[[428413]]

微軟稱，不到20個(gè)Office 365用戶被入侵

研究人員稱DEV-0343團(tuán)伙與伊朗相關(guān)，主要瞄準(zhǔn)美國、歐盟和以色列政府合作的國防公司，如生產(chǎn)軍事級(jí)雷達(dá)、無人機(jī)技術(shù)、衛(wèi)生系統(tǒng)和應(yīng)急通信系統(tǒng)的國防公司。

微軟威脅情報(bào)中心在2021年7月下旬首次觀察到DEV-0343并開始追蹤。DEV-0343對250多個(gè)Office 365用戶進(jìn)行大范圍密碼噴射，主要瞄準(zhǔn)美國和以色列的國防技術(shù)公司、波斯灣港口或在中東有業(yè)務(wù)的全球海運(yùn)和貨運(yùn)公司。

“只有不到20個(gè)Office 365用戶被入侵，但DEV-0343仍然在不斷改進(jìn)技術(shù)以提高攻擊完成度。”微軟表示，啟用了多因素認(rèn)證(MFA)的Office 365帳戶則未被密碼噴射攻擊攻破。

微軟研究人員表示，該團(tuán)伙的活動(dòng)與伊朗方面的利益相一致，其TTP與另一個(gè)與伊朗相關(guān)的網(wǎng)絡(luò)組織活動(dòng)相似。

研究人員推測，攻擊者目的是獲得商業(yè)衛(wèi)星圖像

研究人員推測，攻擊者目的是獲得商業(yè)衛(wèi)星圖像和航運(yùn)計(jì)劃日志。DEV-0343攻擊者還利用一系列精心設(shè)計(jì)的Tor IP地址來混淆其攻擊行為和基礎(chǔ)設(shè)施。

“DEV-0343模擬火狐瀏覽器，使用托管在Tor代理網(wǎng)絡(luò)上的IP進(jìn)行大范圍密碼噴射。攻擊者在伊朗時(shí)間周日和周四上午7:30至晚上8:30(UTC+3.5)之間最為活躍。他們通常針對組織內(nèi)的數(shù)十到數(shù)百個(gè)帳戶，并對每個(gè)帳戶進(jìn)行數(shù)十到數(shù)千次的枚舉。平均而言，針對每個(gè)組織的攻擊使用了150至1000多個(gè)Tor代理IP地址。"

報(bào)告稱，“DEV-0343攻擊者通常針對兩個(gè)Exchange端點(diǎn)：Autodiscover和ActiveSync，將這兩個(gè)端點(diǎn)作為枚舉和密碼噴灑的工具，驗(yàn)證活躍賬戶和密碼，并進(jìn)一步完善其密碼噴射攻擊。”

微軟稱已通知被針對或受到攻擊的用戶，為他們提供了保護(hù)其賬戶所需的信息。

微軟建議企業(yè)自查日志中有無以下活動(dòng)，以確定其基礎(chǔ)設(shè)施是否被攻擊：

• 來自Tor IP地址的密碼攻擊流量
• 在密碼噴射活動(dòng)中模擬FireFox(最常見)或Chrome瀏覽器
• 枚舉Exchange ActiveSync(最常見)或Autodiscover端點(diǎn)
• 使用類似于 "o365spray "工具的枚舉/密碼噴射工具
• 使用Autodiscover來驗(yàn)證賬戶和密碼
• 觀察到的密碼噴灑活動(dòng)通常在UTC 4:00:00和11:00:00之間達(dá)到高峰

以下是微軟分享的緩解DEV-0343攻擊的防御措施：

• 啟用多因素認(rèn)證，以減少憑證泄露。
• Office 365用戶，請參閱多因素認(rèn)證支持。
• 對于消費(fèi)者和個(gè)人電子郵件賬戶，請參閱如何使用兩步驗(yàn)證。
• 微軟鼓勵(lì)所有客戶下載和使用無密碼解決方案。
• 審查并執(zhí)行建議的Exchange Online訪問策略。
• 阻止ActiveSync繞過有條件訪問策略。
• 盡可能阻止來自匿名服務(wù)的所有傳入流量。

參考鏈接：https://securityaffairs.co/wordpress/123219/apt/dev-0343-apt-campaing.html