微软报告发现针对美国和以色列国防技术公司的Office365用户的恶意活动。微软威胁情报中心(MSTIC)和微软数字安全部门(DSU)的研究人员发现了一组恶意活动,被追踪为DEV-0343,目标是美国和以色列国防技术公司用户的Office365。微软表示,不到20名Office365用户遭到入侵研究人员称DEV-0343团伙与伊朗有关联,目标是与美国、欧盟和以色列政府合作的国防公司,例如生产军用级雷达、无人机技术、卫生系统和应急通信系统的国防公司。微软威胁情报中心于2021年7月下旬首次观察到DEV-0343并开始对其进行跟踪。DEV-0343对250多个Office365用户进行了广泛的密码喷洒,主要针对美国和以色列的国防技术公司、波斯湾港口或在中东开展业务的全球航运和货运公司。“只有不到20名Office365用户遭到破坏,但DEV-0343仍在改进技术以提高攻击完成度。”微软表示,启用了多重身份验证(MFA)的Office365帐户不会受到密码喷洒攻击的威胁。微软研究人员表示,该组织的活动符合伊朗的利益,其TTP与另一个与伊朗有联系的网络组织的活动相似。研究人员推测攻击者的目的是获取商业卫星图像研究人员推测攻击者的目的是获取商业卫星图像和航运计划日志。DEV-0343攻击者还利用一系列精心制作的TorIP地址来混淆他们的攻击和基础设施。“DEV-0343模拟Firefox浏览器,使用托管在Tor代理网络上的IP进行广泛的密码喷射。攻击者在伊朗时间(UTC+3.5)的周日和周四上午7:30到晚上8:30之间运行最为活跃。他们通常以数十个目标为目标“针对一个组织内的数百个帐户,并对每个帐户执行数万到数千次枚举。平均而言,针对每个组织的攻击使用150到1,000多个Tor代理IP地址。”报告指出,“DEV-0343攻击者通常以两个Exchange端点为目标:Autodiscover和ActiveSync,使用这两个端点作为枚举和密码喷洒的工具,验证活动帐户和密码,并进一步改进他们的密码喷洒攻击。“微软表示,它已经通知了成为攻击目标或遭到入侵的用户,并向他们提供了保护其帐户所需的信息。微软建议公司检查其日志中的以下活动,以确定其基础设施是否已被入侵:来自TorIP地址密码攻击流量在密码喷洒活动中模拟FireFox(最常见)或Chrome浏览器枚举ExchangeActiveSync(最常见)或自动发现端点使用类似于“o365spray”工具的枚举/密码喷洒工具使用自动发现来验证帐户和密码密码喷洒活动通常在世界标准时间4:00:00和11:00:00之间达到顶峰。以下是Microsoft为减轻DEV-0343攻击而共享的防御措施:启用多因素身份验证以减少凭据暴露。Office365用户,请参阅multi-因素身份验证支持。对于消费者和个人电子邮件帐户,请参阅如何使用两步验证。Microsoftencourages所有客户下载和使用无密码解决方案。查看并实施建议的ExchangeOnline访问策略。阻止ActiveSync绕过条件访问策略。尽可能阻止来自匿名服务的所有传入流量。参考链接:https://securityaffairs.co/wordpress/123219/apt/dev-0343-apt-campaing.html
