Un botnet masiv format din peste 130.000 de dispozitive compromise efectuează atacuri de pulverizare a parolelor împotriva conturilor Microsoft 365 (M365) la nivel mondial, vizând autentificarea de bază pentru a evita autentificarea multi-factorială.
Conform unui raport realizat de SecurityScorecard, atacatorii folosesc credențiale furate de malware-ul infostealer pentru a viza conturile la o scară largă.
Atacurile se bazează pe autentificările non-interactiv folosind Autentificarea de bază (Basic Auth) pentru a ocoli protecțiile Multi-Factor Authentication (MFA) și a obține acces neautorizat fără a declanșa alerte de securitate.
„Organizațiile care se bazează exclusiv pe monitorizarea autentificării interactive sunt neinformate cu privire la aceste atacuri. Autentificările non-interactive, folosite în mod obișnuit pentru autentificarea serviciu-serviciu, protocoalele mai vechi (de exemplu, POP, IMAP, SMTP) și procesele automate, nu declanșează MFA în multe configurații,” avertizează SecurityScorecard.
„Autentificarea de bază, încă activată în unele medii, permite transmiterea credențialelor în formă clară, făcându-l o țintă principală pentru atacatori.”
Basic Auth este o metodă de autentificare învechită în care credențialele utilizatorului sunt trimise în formă de text simplu sau codificate în base64 cu fiecare cerere către un server.
Lipsește caracteristicile moderne de securitate precum MFA și autentificare bazată pe token, iar Microsoft intenționează să o retragă în favoarea OAuth 2.0 în septembrie 2025, având deja dezactivată pentru majoritatea serviciilor Microsoft 365.
Botnetul recent descoperit folosește încercări de Basic Auth vizând un număr mare de conturi cu parole comune/furate.
Deoarece Basic Auth este non-interactiv, atunci când există o potrivire cu credențialele încercate, atacatorii nu sunt solicitați pentru MFA și foarte des nu sunt restricționați de Politicile de Acces Condițional (CAP), permițând atacatorilor să verifice în mod discret credențialele contului.
Odată ce credențialele sunt verificate, acestea pot fi utilizate pentru a accesa serviciile mai vechi care nu necesită MFA sau în atacuri de pescuit mai sofisticate pentru a ocoli caracteristica de securitate și a obține acces complet la cont.
SecurityScorecard subliniază de asemenea că puteți observa semne ale atacurilor de pulverizare a parolelor în jurnalele ID Entra, care vor arăta încercări de conectare crescute pentru autentificările non-interactive, mai multe încercări eșuate de conectare de la IP-uri diferite și prezența agentului de utilizator „fasthttp” în jurnalele de autentificare.
În ianuarie, SpearTip a avertizat cu privire la actorii de amenințare care efectuează atacuri de parole Microsoft 365 folosind biblioteca FastHTTP Go într-un mod similar, dar nu a menționat autentificările non-interactive. Nu este clar dacă aceasta este o dezvoltare mai recentă de către botnet pentru a evita detectarea.
SecurityScorecard raportează că operatorii botnetului sunt probabil afiliați chinezi, deși încă nu există o atribuire clară sau sigură.
Botnetul operează prin șase servere primare de comandă și control (C2) găzduite de furnizorul american Shark Tech, în timp ce direcționează traficul prin intermediul UCLOUD HK cu sediul în Hong Kong și a CDS Global legată de China.
Serverele C2 rulează Apache Zookeeper și folosesc Kafka pentru a gestiona operațiunile botnetului.
Fusul orar al serverelor C2 este setat pe Asia/Shanghai, în timp ce timpii lor de funcționare indică faptul că botnetul este activ încă din decembrie 2024.
Botnetul folosește peste 130.000 de dispozitive compromise pentru a răspândi încercările de conectare pe diferite adrese IP, ceea ce ajută la evitarea semnalării pentru activitate suspectă și blocare.
Organizațiile ar trebui să dezactiveze Basic Auth în Microsoft 365, să blocheze adresele IP enumerate în raport, să activeze CAP-urile pentru a restricționa încercările de conectare și să utilizeze MFA pentru toate conturile.
Leave a Reply