Nedavno otkriveni botnet, koji obuhvata više od 130.000 kompromitovanih uređaja, pokreće koordinirane napade metodom „password spraying“ na Microsoft 365 (M365) naloge.
Istraživači sigurnosti iz SecurityScorecarda ispituju moguće veze s hakerima povezanim s Kinom, navodeći dokaze o infrastrukturi povezanoj s CDS Global Cloud i UCLOUD HK, koji imaju operativne veze s Kinom. Napad koristi komandno-kontrolne (C2) servere hostovane od strane SharkTech-a, američkog provajdera ranije identifikovanog kao domaćina malicioznih aktivnosti.
„Ovi nalazi našeg STRIKE Threat Intelligence tima potvrđuju da protivnici nastavljaju pronalaziti i iskorištavati nedostatke u procesima autentifikacije,“ rekao je David Mound, istraživač prijetnji u SecurityScorecardu. „Organizacije si ne mogu priuštiti da pretpostave da je MFA dovoljan kao zaštita. Razumijevanje nijansi neinteraktivnih prijava ključno je za zatvaranje ovih praznina.“
Da li je ovo novi napad?
Iako je „password spraying“ dobro poznata tehnika, ova kampanja se ističe svojom veličinom, prikrivenošću i iskorištavanjem kritične sigurnosne slijepe tačke. Za razliku od prethodnih napada povezanih s Volt Typhoon (Kina) i APT33 (Iran), ovaj botnet koristi neinteraktivne prijave kako bi izbjegao detekciju tradicionalnih sigurnosnih kontrola.
Obično „password spraying“ rezultuje zaključavanjem naloga, što upozorava sigurnosne timove. Međutim, ova kampanja cilja isključivo neinteraktivne prijave, koje se koriste za autentifikaciju između servisa i ne generisanju uvijek sigurnosne alarme. Ovo omogućava napadačima da djeluju bez aktiviranja MFA odbrane ili politika uslovnog pristupa (CAP), čak i u visoko osiguranim okruženjima.
Ko je u riziku?
Ovaj napad ima posljedice za mnoge industrije, ali su posebno ugrožene organizacije koje se oslanjaju na Microsoft 365 za e-mail, pohranu dokumenata i kolaboraciju. Ključni sektori pod rizikom uključuju:
- Finansijske usluge i osiguranje – Visokovrijedne mete za prevare, interne prijetnje i regulatorne zabrinutosti.
- Zdravstvo – Rizici neovlaštenog pristupa medicinskim podacima i ometanja operacija.
- Vlada i odbrana – Potencijalna špijunaža i krađa podataka.
- Tehnološki i SaaS provajderi – Napadači mogu kompromitovati naloge kako bi pokrenuli napade na lance snabdijevanja.
- Obrazovne i istraživačke institucije – Univerziteti i istraživačke laboratorije često su mete krađe intelektualne svojine.
Zašto je ovo važno?
- Moguće veze s državnim hakerima – Infrastruktura i taktike sugerišu povezanost s naprednim hakerom, pri čemu se koriste hosting provajderi povezani s Kinom.
- Zaobilaženje odbrambenih mjera – Čak i kompanije s jakim sigurnosnim postavkama mogu biti ranjive zbog nedostataka u načinu evidencije ovih pokušaja autentifikacije.
- Rastući trend – Slične taktike su primijećene u prethodnim kampanjama, posebno protiv vladinih agencija, kritične infrastrukture i velikih preduzeća.
Šta sigurnosni timovi trebaju poduzeti odmah?
- Pregledati dnevnike neinteraktivnih prijava radi neovlaštenih pokušaja pristupa.
- Promijeniti lozinke za sve naloge označene u nedavnim pokušajima prijave.
- Onemogućiti zastarjele protokole autentifikacije poput Basic Authentication.
- Nadzirati ukradene kredencijale povezane s organizacijom u infostealer bazama podataka.
- Implementirati politike uslovnog pristupa koje ograničavaju neinteraktivne prijave.
Microsoft planira potpuno povlačenje Basic Authentication do septembra 2025. godine, a ovi napadi naglašavaju hitnost prelaska na sigurnije metode autentifikacije prije nego što budu iskorišteni u još većem obimu.
Izvor:Help Net Security
