- Kürzlich wurde ein neuer Angriff mit Passwortsprühen beobachtet
- Es zielt auf Organisationen und M365 -Konten im Westen ab
- Der Angriff konzentriert sich auf nicht interaktive Anzeichen
Hacker, möglicherweise von chinesischer Zugehörigkeit, zielen auf Organisationen im Westen mit großem Maßstab ab Passwort Sprühangriffe haben Experten behauptet.
Ein Bericht von Cybersecurity Resears SecurityscoreCard besagt, dass Unternehmen, auf die sich verlassen Microsoft 365 Office -Software Für E -Mails, Dokumentenspeicher und Zusammenarbeit sind ein besonderes Risiko ausgesetzt.
SecurityScorecard sagte, es habe Hinweise auf “China-verbundene Bedrohungsakteure” gefunden, die Infrastruktur verwenden, die „mit CDs Global Cloud und Ucloud HK verbunden sind, Anbieter mit„ operativen Bindungen “zu China. Die Forscher sagten auch, dass Server, die in Sharktech gehostet wurden, für die C2 der Kampagne verwendet wurden. Sharktech ist angeblich ein in den USA ansässiger Anbieter, der in der Vergangenheit böswillige Aktivitäten veranstaltet.
Microsoft 365 auf Angriffe abzielt
Das Kennwortsprühen ist kaum neu, aber es gibt Dinge, die diese Kampagne als besonders gefährlich hervorheben, z. Dies hilft den Angreifern, von herkömmlichen Sicherheitskontrollen entdeckt zu werden.
„In der Regel führt das Kennwortsprühen in Aussperrung, die Sicherheitsteams aufmerksam machen“, erklären die Forscher. „Diese Kampagne richtet sich jedoch speziell an nicht-interaktive Anmeldungen, die für die Service-zu-Service-Authentifizierung verwendet werden und die nicht immer Sicherheitswarnungen generieren. Auf diese Weise können Angreifer auch in hochgesichtigen Umgebungen operieren, ohne MFA -Verteidigungen oder bedingte Zugangsrichtlinien (CAP) auszulösen. “
Die Angreifer entscheiden sich für Microsoft 365 -Konten, SecurityScorecard betonte weiter, hauptsächlich in Organisationen in Finanzdienstleistungen und Versicherungen. Das Gesundheitswesen, die Regierung und die Verteidigung, Technologie und SaaS sowie Bildung und Forschung sind jedoch auch wichtige Ziele.
Die Forscher glauben, dass der Angriff wichtig ist, weil er moderne Abwehrkräfte umgeht, und es ist wahrscheinlich das Tun der chinesischen Regierung. Daher sollten Organisationen im Westen besonders vorsichtig sein, um nicht interaktive Anmeldungsprotokolle für nicht autorisierte Zugriffsversuche zu überprüfen, Anmeldeinformationen für markierte Konten zu drehen und Legacy-Authentifizierungsprotokolle zu deaktivieren. Darüber hinaus sollten sie auf gestohlene Anmeldeinformationen, die mit ihren Organisationen verbunden sind, überwachen und bedingte Zugriffsrichtlinien implementieren.
“Diese Erkenntnisse aus unserem Streik -Bedrohungsinformationsteam verstärken, wie Gegner weiterhin Lücken in Authentifizierungsprozessen finden und ausnutzen”, sagte David Mound, Bedrohungsinformationsforscher von Securityscorecard. „Organisationen können es sich nicht leisten, davon auszugehen, dass MFA allein eine ausreichende Verteidigung ist. Das Verständnis der Nuancen nicht-interaktiver Logins ist entscheidend, um diese Lücken zu schließen. “
