Microsoft предупреждава за атаки с парола срещу тези клиенти на Office 365

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Microsoft казва, че 250 клиенти на Office 365 в сектора на отбранителните технологии в САЩ и Израел са подложени на атаки „пръскане на пароли“, където нападателите се опитват да получат достъп до много акаунти с често използвани пароли. Техниката разчита на хора, използващи варианти на общи пароли.

Атаките с пароли са фокусирани върху критични инфраструктурни компании, работещи в Персийския залив и са извършени от група, която Microsoft проследява като DEV-0343-най-вероятно нова група от Иран.

Етикетът „DEV“ показва, че групата не е потвърдена от държавата спонсорирана група за атака, но в крайна сметка може да стане такава.

ВИЖ: Предупреждение за сигурност BYOD: Не можете да правите всичко сигурно само с лични устройства

Центърът за разузнаване на заплахите на Microsoft (MSTIC) заяви, че е наблюдавал DEV-0343 „извършване на широко разпръскване на пароли срещу повече от 250 наематели на Office 365, с акцент върху американски и израелски компании за отбранителни технологии, пристанища за влизане в Персийския залив или глобални компании за морски транспорт. с бизнес присъствие в Близкия изток. “

Microsoft заяви, че “по -малко от 20” от целевите наематели са били компрометирани успешно.

Рискът от компромис от атаки с пръскане на пароли е значително намален за организации, които въвеждат многофакторно удостоверяване.

Хакерската група е насочена към компании, които поддържат американски, европейски и израелски организации, произвеждащи военни радари, дронове, сателитни системи и системи за комуникация при спешни ситуации, както и географски информационни системи (ГИС), пространствена аналитика, пристанища в Персийския залив, морски и товарни транспортни компании в региона.

“Microsoft оценява, че това насочване подкрепя проследяването от страна на иранското правителство на противниковите услуги за сигурност и морското корабоплаване в Близкия изток, за да се подобрят техните планове за действие при извънредни ситуации. Получаването на достъп до търговски сателитни изображения и собствени планове за кораби и регистрационни файлове може да помогне на Иран да компенсира разработващата си сателитна програма,” Microsoft заяви.

Миналата седмица Microsoft повдигна червен флаг заради хакерството, спонсорирано от държавата, като определи хакерите на руските разузнавачи за най-активната киберзаплаха в света. Подкрепяните от Кремъл хакери не само са по-плодовити, но и стават все по-ефективни, според Microsoft. Той също така отбеляза значителен ръст в иранските хакове срещу израелски организации.

„Тази година бележи почти четирикратно насочване към израелските образувания, резултат изключително от ирански актьори, които се фокусираха върху Израел, тъй като напрежението рязко ескалира между противниците“, отбелязва Microsoft в последния си доклад за цифрова отбрана.

Последното му предупреждение към американските и израелските организации, работещи в Близкия изток, казва, че те трябва да следят за подозрителни връзки на Tor към техните мрежи.

„DEV-0343 дирижира обширно пароли спрейове емулиране на браузър Firefox и използване на IP адреси, хоствани в Tor прокси мрежа. Те са най-активни между неделя и четвъртък между 7:30 и 20:30 ч. Иранско време (04:00:00 и 17:00:00 UTC) със значителни спадове в активността преди 7:30 ч. И след 8: 30 ч. Иранско време. Обикновено те са насочени към десетки до стотици акаунти в дадена организация, в зависимост от размера, и изброяват всеки акаунт от десетки до хиляди пъти. Средно между 150 и 1000+ уникални Tor прокси IP адреси се използват при атаки срещу всяка организация. ” Microsoft предупреди в пост в блог.

ВИЖ: Windows 11 на Microsoft: Как да го получите сега (или по -късно)

DEV-0343 често се насочва към крайните точки на Exchange, включително Autodiscover и ActiveSync, с атаки с пръскане на парола. Това позволява на DEV-0343 да валидира активни акаунти и пароли и допълнително да усъвършенства дейността си за пръскане на пароли, каза Microsoft.

Основната препоръчителна защита на Microsoft е активирането на многофакторно удостоверяване, тъй като това трябва да блокира отдалечения достъп до акаунти с компрометирани идентификационни данни.

Той също така препоръчва на администраторите да проверяват и налагат правила за достъп до Exchange Online и да блокират целия входящ трафик, идващ от услуги като мрежата Tor.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •