Enligt Microsoft har olika lösenordssprejsattacker riktats mot de 250 Office 365-användarna i den israeliska och amerikanska försvarsteknologisektorn. Cyberangripare försöker komma in på flera konton genom att använda vanliga lösenord. Denna teknik beror på att användare använder varianter av vanliga lösenord.
Cyberattackerna var fokuserade på en betydande infrastrukturorganisation belägen i Persiska viken och utfördes av en grupp (sannolikt iranska) spårad som DEV-0343. Denna DEV-tagg betyder att den cyberkriminella gruppen är en obekräftad statligt sponsrad attackgrupp men potentiellt kan bli en sådan.
Microsoft Threat Intelligence Center (MSTIC) uppgav att de uppfattade DEV-0343 "bedriva omfattande lösenordssprayning mot mer än 250 Office 365-hyresgäster, med fokus på amerikanska och israeliska försvarsteknikföretag, infartshamnar i Persiska viken eller globala sjötransportföretag med affärsnärvaro i Mellanöstern."
Microsoft hävdade att de utsatta hyresgästerna var under 20.
De organisationer som religiöst använder multifaktorautentisering har en avsevärt låg chans att kompromissa med lösenordssprayningsattacker.
Denna cyberkriminella grupp riktar sig till företag som stödjer israeliska, EU- och amerikanska organisationer som producerar drönare, kommunikationssystem för nödberedskap, militärradar, rumslig analys, satellitsystem, sjöfarts- och lasttransportföretag och hamnar i Persiska viken i regionen.
Enligt Microsoft:
"Microsoft bedömer att denna inriktning stöder den iranska regeringens spårning av motståndares säkerhetstjänster och sjöfart i Mellanöstern för att förbättra deras beredskapsplaner. Att få tillgång till kommersiella satellitbilder och proprietära sjöfartsplaner och loggar kan hjälpa Iran att kompensera för sitt satellitprogram under utveckling."
Förra veckan höjdes en röd flagga av Microsoft på grund av rysk statssponsrad hackning som stämplade de ryska underrättelsetjänstens hackare som ett aktivt hot över hela världen. Teknikjätten förklarade vidare att de Kreml-stödda hackarna är mycket effektiva och produktiva. Den nämnde också en betydande ökning av iransk hacking på iranska företag.
I Microsofts senaste digitala försvarsrapport noterade företaget:
"Det här året markerade en nästan fyrdubbling av inriktningen av israeliska enheter, ett resultat uteslutande av iranska aktörer, som fokuserade på Israel när spänningarna kraftigt eskalerade mellan motståndarna"
Teknikjättens senaste varning till israeliska och amerikanska organisationer i Mellanöstern nämner att de bör vara vaksamma och se upp för misstänkta Tor-anslutningar på sina nätverk.
Microsoft varnade dem i ett blogginlägg:
"DEV-0343 genomför omfattande lösenordssprayer som emulerar en Firefox-webbläsare och använder IP:er på ett Tor-proxynätverk. De är mest aktiva mellan söndag och torsdag mellan 7:30 och 20:30 Iran Time (04:00:00 och 17:00:00 UTC) med betydande nedgångar i aktivitet före 7:30 AM och efter 8: 30 PM Iran Time. De riktar sig vanligtvis mot dussintals till hundratals konton inom en organisation, beroende på storleken, och räknar upp varje konto från dussintals till tusentals gånger. I genomsnitt används mellan 150 och 1 000+ unika Tor-proxy-IP-adresser i attacker mot varje organisation."
DEV-0343 utför ofta lösenordssprayningsattacker och riktar sig mot Exchange-ändpunkter, som ActiveSync och Autodiscover, vilket gör att denna hackergrupp kan förfina sin lösenordssprayaktivitet ytterligare, sa Microsoft.
Det primära försvaret som rekommenderas av Microsoft för att stävja detta är att möjliggöra multifaktorautentisering. Detta blockerar fjärråtkomst till konton. Jätten rekommenderar också att tillämpa Exchange Online-åtkomstpolicyer, köra frekventa administratörskontroller och leta efter någon form av inkommande trafik från ett Tor-nätverk eller andra tjänster.