近日，一個(gè)由超13萬臺(tái)被入侵設(shè)備組成的僵尸網(wǎng)絡(luò)，正對(duì)微軟 365賬戶發(fā)動(dòng)大規(guī)模密碼噴灑攻擊。此次攻擊手段隱蔽，且利用了關(guān)鍵安全盲點(diǎn)，給眾多行業(yè)帶來嚴(yán)重威脅。

最近發(fā)現(xiàn)的一個(gè)由超過13萬臺(tái)被入侵設(shè)備組成的僵尸網(wǎng)絡(luò)，正在對(duì)微軟 365賬戶發(fā)動(dòng)協(xié)同的密碼噴灑攻擊。

SecurityScorecard的安全研究人員正在調(diào)查，此次攻擊利用了由美國提供商SharkTech托管的命令與控制(C2)服務(wù)器，而SharkTech此前曾因托管惡意活動(dòng)而被識(shí)別。

SecurityScorecard的威脅情報(bào)研究員David Mound表示：“我們STRIKE威脅情報(bào)團(tuán)隊(duì)的這些發(fā)現(xiàn)再次強(qiáng)調(diào)，對(duì)手如何繼續(xù)尋找并利用身份驗(yàn)證過程中的漏洞?！薄捌髽I(yè)不能僅僅依靠多因素身份驗(yàn)證(MFA)作為足夠的防御。了解非交互式登錄的細(xì)微差別對(duì)于彌補(bǔ)這些漏洞至關(guān)重要?！?/p>

這是新的攻擊嗎?

雖然密碼噴灑是一種眾所周知的技術(shù)，但此次攻擊活動(dòng)因其規(guī)模、隱蔽性和利用關(guān)鍵安全盲點(diǎn)而引人注目。與以往的Volt Typhoon攻擊和APT33攻擊不同，此次僵尸網(wǎng)絡(luò)利用非交互式登錄來規(guī)避傳統(tǒng)安全控制的檢測。

通常，密碼噴灑會(huì)導(dǎo)致鎖定，從而提醒安全團(tuán)隊(duì)，然而，此次攻擊活動(dòng)明確針對(duì)非交互式登錄，這種登錄用于服務(wù)到服務(wù)的身份驗(yàn)證，并不總是生成安全警報(bào)。這使得攻擊者能夠在高度安全的環(huán)境中操作，而不會(huì)觸發(fā)MFA防御或條件訪問策略(CAP)。

哪些企業(yè)面臨風(fēng)險(xiǎn)?

此次攻擊對(duì)許多行業(yè)都有影響，但那些嚴(yán)重依賴微軟 365進(jìn)行電子郵件、文檔存儲(chǔ)和協(xié)作的企業(yè)可能面臨特別大的風(fēng)險(xiǎn)。主要受影響的行業(yè)包括：

• 金融服務(wù)和保險(xiǎn)：欺詐、內(nèi)部威脅和監(jiān)管問題的重點(diǎn)目標(biāo)。
• 醫(yī)療保?。何唇?jīng)授權(quán)訪問患者記錄和運(yùn)營中斷的風(fēng)險(xiǎn)。
• 政府和國防：可能的間諜活動(dòng)和數(shù)據(jù)外泄問題。
• 技術(shù)和SaaS提供商：威脅行為者可能入侵賬戶以發(fā)動(dòng)供應(yīng)鏈攻擊。
• 教育和研究機(jī)構(gòu)：大學(xué)和實(shí)驗(yàn)室仍然是知識(shí)產(chǎn)權(quán)盜竊的頻繁目標(biāo)。

為何重要?

• 繞過防御：即使安全態(tài)勢強(qiáng)大的公司，也可能由于這些身份驗(yàn)證嘗試記錄方式中的漏洞而容易受到攻擊。
• 不斷增長的趨勢：過去的攻擊活動(dòng)中已觀察到類似的戰(zhàn)術(shù)，特別是針對(duì)政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施和大型企業(yè)。

安全團(tuán)隊(duì)現(xiàn)在需要做什么?

• 審查非交互式登錄日志，尋找未經(jīng)授權(quán)的訪問嘗試。
• 輪換最近登錄嘗試中標(biāo)記的任何賬戶的憑據(jù)。
• 禁用基本身份驗(yàn)證等舊版身份驗(yàn)證協(xié)議。
• 監(jiān)控信息竊取者日志中與其組織相關(guān)的被盜憑據(jù)。
• 實(shí)施條件訪問策略，限制非交互式登錄嘗試。

隨著微軟計(jì)劃在2025年9月前完全淘汰基本身份驗(yàn)證，這些攻擊凸顯了在更大規(guī)模利用之前過渡到更安全身份驗(yàn)證方法的緊迫性。