《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 針對(duì)美國(guó)軍事防務(wù)機(jī)構(gòu)進(jìn)行Office 365間諜攻擊

針對(duì)美國(guó)軍事防務(wù)機(jī)構(gòu)進(jìn)行Office 365間諜攻擊

2021-10-21
來源:嘶吼專業(yè)版
關(guān)鍵詞: Office 間諜

  研究人員發(fā)現(xiàn)了一個(gè)名為DEV-0343的網(wǎng)絡(luò)組織攻擊了美國(guó)和以色列的國(guó)防技術(shù)公司、波斯灣的入境港口以及與中東有關(guān)的全球海上運(yùn)輸公司。該威脅組織的攻擊方式主要是接管微軟Office 365賬戶。

  微軟在2021年7月底開始追蹤這些攻擊活動(dòng),并在發(fā)布的一份警報(bào)中詳細(xì)介紹了這些攻擊手法,并補(bǔ)充說,該罪犯似乎一直在從事網(wǎng)絡(luò)間諜活動(dòng),同時(shí)該組織與伊朗有聯(lián)系,并且網(wǎng)絡(luò)攻擊者正在對(duì)Office 365賬戶進(jìn)行大面積的密碼噴灑攻擊。

  密碼噴灑攻擊是針對(duì)在線賬戶使用大量用戶名和一系列不同密碼進(jìn)行攻擊的過程,攻擊者希望找到正確的密碼并獲得對(duì)受密碼保護(hù)賬戶的訪問權(quán)限。微軟表示,在這種情況下,攻擊者通常會(huì)對(duì)每個(gè)目標(biāo)組織內(nèi)的幾十個(gè)到幾百個(gè)賬戶進(jìn)行攻擊,并且會(huì)對(duì)每個(gè)賬戶嘗試數(shù)千個(gè)憑證組合。

  據(jù)該公司稱,到目前為止,該活動(dòng)已對(duì)大約250個(gè)使用微軟云辦公套件的組織進(jìn)行了攻擊,其中有將近20個(gè)組織受到了影響。然而,該計(jì)算巨頭警告說,DEV-0343在繼續(xù)完善他們的攻擊技術(shù)。

  據(jù)分析,目前發(fā)現(xiàn)的攻擊源使用的是一個(gè)Firefox或Chrome瀏覽器,并在Tor代理網(wǎng)絡(luò)上使用輪換的IP地址進(jìn)行攻擊。微軟說,平均下來,每次攻擊都會(huì)使用150到1000個(gè)獨(dú)立的IP地址,攻擊者這樣做是為了混淆攻擊的來源,增加攻擊溯源的難度。

  研究人員說,每次進(jìn)行密碼爆破攻擊都改變IP地址正在成為威脅集團(tuán)中的一個(gè)很常見的攻擊技術(shù),通常情況下,威脅集團(tuán)會(huì)隨機(jī)使用他們用戶代理以及IP地址進(jìn)行攻擊。由于現(xiàn)在出現(xiàn)的提供大量住宅IP地址的服務(wù)使得該技術(shù)很容易實(shí)現(xiàn)。而這些服務(wù)往往是通過瀏覽器插件來啟用的。

  使用這種代理地址使得開發(fā)指標(biāo)或IoCs變得非常困難,但微軟在攻擊中觀察到的攻擊模式還包括:

  1、來自Tor IP地址的大量入站流量用于密碼噴射攻擊活動(dòng)

  2、在密碼噴灑活動(dòng)中模擬FireFox(最常見)或Chrome瀏覽器

  3、枚舉Exchange ActiveSync(最常見)或Autodiscover端點(diǎn)

  4、使用類似于“o365spray ”工具的枚舉/密碼噴射工具

  5、使用Autodiscover來驗(yàn)證賬戶和密碼

  攻擊者通常會(huì)針對(duì)兩個(gè)Exchange端點(diǎn)--Autodiscover和ActiveSync來進(jìn)行他們的枚舉/密碼噴灑攻擊。據(jù)微軟稱,這使得DEV-0343能夠很容易驗(yàn)證活動(dòng)賬戶和密碼,并進(jìn)一步完善他們的密碼噴灑攻擊活動(dòng)。

  據(jù)稱與伊朗有關(guān)

  該集團(tuán)使用的帶有 “DEV ”的名稱只是微軟臨時(shí)指定的名稱,它代表著一個(gè)在不斷壯大的攻擊活動(dòng)群體。在對(duì)攻擊者有了更多了解后,微軟將會(huì)給它取一個(gè)永久性的名字。

  但目前,有證據(jù)表明攻擊者是伊朗人。例如,微軟說,他們會(huì)專門針對(duì)制造軍用級(jí)雷達(dá)、無人機(jī)技術(shù)、衛(wèi)星系統(tǒng)、應(yīng)急通信系統(tǒng)、地理信息系統(tǒng)(GIS)和空間分析的公司,以及港口和運(yùn)輸公司進(jìn)行攻擊。微軟表示,這與伊朗以前對(duì)航運(yùn)和海上目標(biāo)的攻擊的特點(diǎn)基本吻合。

  該公司指出,根據(jù)攻擊模式分析,這一威脅集團(tuán)可能一直在支持伊朗伊斯蘭共和國(guó)的國(guó)家利益,并且該模式與來自伊朗的另一個(gè)攻擊者在技術(shù)上非常相似。

  另外,該組織在伊朗當(dāng)?shù)貢r(shí)間周日至周四上午7:30至晚上8:30之間最為活躍,微軟公司也在上午7:30至下午2:30之間觀察到了密碼噴射攻擊的高峰。

  如何防止office 365被攻擊

  為了防止密碼噴射攻擊,微軟建議用戶首先要啟用多因素認(rèn)證?;蛘呤褂闷渌烙呗詠肀Wo(hù)賬戶,比如像Microsoft Authenticator這樣的無密碼解決方案;審查Exchange Online訪問策略;阻止ActiveSync客戶端繞過條件訪問策略;并盡可能阻止來自匿名服務(wù)的所有傳入流量。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。