研究人员发现了一个名为DEV-0343的网络组织,该组织攻击美国和以色列的国防技术公司、波斯湾的入境口岸以及与中东有关的全球海上运输公司。该威胁组织的攻击手段主要是接管MicrosoftOffice365账户。微软于2021年7月下旬开始跟踪这些攻击,并在其发布的警报中详细说明了这些策略,并补充说,该犯罪分子似乎一直在从事网络间谍活动,而该组织与伊朗有联系,网络攻击者正在使用大量密码——对Office365帐户进行喷洒攻击。密码喷洒攻击是对在线帐户使用大量用户名和一系列不同密码的过程,希望找到正确的密码并访问受密码保护的帐户。微软表示,在这种情况下,攻击者通常会针对每个目标组织内的数十到数百个帐户,并为每个帐户尝试数千种凭据组合。据该公司称,到目前为止,该活动已针对约250个使用微软云办公套件的组织,其中近20个组织受到影响。然而,这家计算巨头警告说DEV-0343继续改进他们的攻击技术。据分析,目前发现的攻击源使用Firefox或Chrome浏览器,利用Tor代理网络上的轮换IP地址进行攻击。平均而言,每次攻击使用150到1,000个唯一的IP地址,微软表示,这是为了混淆攻击的来源,并使追踪攻击变得更加困难。研究人员表示,通过每次密码爆破攻击更改IP地址正成为威胁组织中的一种常见攻击技术,这些威胁组织通常随机使用其用户代理和IP地址。由于提供大量住宅IP地址的服务的出现,这项技术很容易实施。这些服务通常通过浏览器插件启用。使用此类代理地址使得开发指标或IoC变得非常困难,但微软在攻击中观察到的攻击模式还包括:1、大量来自TorIP地址的入站流量用于密码喷洒活动2、在密码喷洒Simulate活动期间使用FireFox(最常见)或Chrome浏览器3,枚举ExchangeActiveSync(最常见)或自动发现端点4,使用类似于“o365spray”工具的枚举/密码喷射工具5,使用自动发现来验证帐户和密码攻击者通常针对两个Exchange端点-自动发现和ActiveSync-因为他们的枚举/密码喷射攻击。据微软称,这使得DEV-0343可以轻松验证活动帐户和密码,并进一步完善他们的密码喷洒活动。据称与伊朗有联系的组织使用的带有“DEV”的名称只是微软的临时名称,它代表了越来越多的活动家。在了解更多关于攻击者的信息后,微软会给它一个永久的名字。但就目前而言,有证据表明袭击者是伊朗人。例如,微软表示,它将专门针对制造军用级雷达、无人机技术、卫星系统、应急通信系统、地理信息系统(GIS)和空间分析的公司,以及港口和航运公司。微软表示,这与伊朗此前袭击航运和海上目标的特征大致相符。该公司指出,根据对攻击模式的分析,该威胁组织可能一直在支持伊朗伊斯兰共和国的国家利益,而且这种模式在技术上与另一个来自伊朗的攻击者非常相似。此外,该组织在伊朗当地时间周日至周四上午7点30分到晚上8点30分最为活跃,微软还观察到密码喷射攻击在早上7点30分到下午2点30分之间达到高峰。如何防止Office365被攻击为了防止密码喷洒攻击,微软建议用户首先启用多重身份验证。或使用其他防御策略来保护帐户,例如MicrosoftAuthenticator等无密码解决方案;查看ExchangeOnline访问策略;防止ActiveSync客户端绕过条件访问策略;并尽可能阻止来自匿名服务的所有传入流量。本文翻译自:https://threatpost.com/military-defense-spy-campaign/175425/如有转载请注明出处。
