По данным Microsoft, различные атаки с распылением паролей были направлены против 250 пользователей Office 365 в секторе оборонных технологий Израиля и США. Кибер-злоумышленники пытаются получить доступ к нескольким учетным записям, используя общие пароли. Этот метод зависит от пользователей, использующих варианты общих паролей.
Кибератаки были сосредоточены на важной инфраструктурной организации, расположенной в Персидском заливе, и были осуществлены группой (вероятно, иранской), отслеживаемой как DEV-0343. Этот тег DEV означает, что группа киберпреступников является неподтвержденной атакующей группой, спонсируемой государством, но потенциально может стать таковой.
Центр Microsoft Threat Intelligence Center (MSTIC) заявил, что, по его мнению, DEV-0343 «проводил масштабное распыление паролей в отношении более чем 250 арендаторов Office 365, уделяя особое внимание оборонным технологическим компаниям США и Израиля, портам въезда в Персидский залив или глобальным морским транспортным компаниям». с деловым присутствием на Ближнем Востоке».
Microsoft заявила, что количество скомпрометированных целевых арендаторов было менее 20.
Организации, которые неукоснительно внедряют многофакторную аутентификацию, имеют значительно меньшую вероятность компрометации в результате атак с распылением паролей.
Эта группа киберпреступников нацелена на компании, поддерживающие израильские, европейские и американские организации, которые производят беспилотники, системы экстренной связи, военные радары, пространственную аналитику, спутниковые системы, морские и грузовые транспортные компании, а также порты Персидского залива в регионе.
Согласно Майкрософт:
«Microsoft оценивает, что это нацеливание поддерживает иранское правительство, отслеживающее службы безопасности противника и морские перевозки на Ближнем Востоке, чтобы улучшить свои планы на случай непредвиденных обстоятельств. Получение доступа к коммерческим спутниковым снимкам и собственным планам и журналам доставки может помочь Ирану компенсировать его развивающуюся спутниковую программу».
На прошлой неделе Microsoft подняла красный флаг в связи с спонсируемым российским государством взломом, который назвал хакеров российской разведки активной угрозой во всем мире. Технический гигант также заявил, что поддерживаемые Кремлем хакеры очень эффективны и плодовиты. В нем также упоминается значительный рост иранских хакерских атак на иранские компании.
В последнем отчете Microsoft о цифровой защите компания отметила:
«В этом году число нападений на израильские организации увеличилось почти в четыре раза в результате действий исключительно иранских субъектов, которые сосредоточили свое внимание на Израиле по мере резкого обострения напряженности между противниками».
В недавнем предупреждении технологического гиганта израильским и американским организациям на Ближнем Востоке упоминается, что они должны быть бдительными и следить за подозрительными подключениями Tor в своих сетях.
Microsoft предупредила их в сообщении в блоге:
«DEV-0343 проводит обширную рассылку паролей, эмулируя браузер Firefox и используя IP-адреса, размещенные в прокси-сети Tor. Они наиболее активны с воскресенья по четверг с 7:30 до 20:30 по иранскому времени (04:00:00 и 17:00:00 UTC) со значительным спадом активности до 7:30 и после 8:00. 30 часов по иранскому времени. Обычно они нацелены на десятки или сотни учетных записей внутри организации, в зависимости от размера, и перечисляют каждую учетную запись от десятков до тысяч раз. В среднем в атаках на каждую организацию используется от 150 до 1000+ уникальных IP-адресов прокси-сервера Tor».
DEV-0343 часто проводит атаки с распылением паролей и нацелен на конечные точки Exchange, такие как ActiveSync и Autodiscover, что позволяет этой хакерской группе дополнительно совершенствовать свою деятельность по распылению паролей, сообщает Microsoft.
Основная защита, рекомендованная Microsoft для сдерживания этого, — включение многофакторной аутентификации. Это заблокирует удаленный доступ к учетным записям. Гигант также рекомендует применять политики доступа к Exchange Online, проводить частые проверки администратора и искать любой входящий трафик из сети Tor или других служб.