Microsoft сообщает, что 250 клиентов Office 365 в секторе оборонных технологий США и Израиля подверглись атакам с использованием «распыления паролей», когда злоумышленники пытаются получить доступ ко многим учетным записям с часто используемыми паролями. Этот метод основан на использовании людьми вариаций общих паролей.
Атаки паролей были направлены на критически важные инфраструктурные компании, работающие в Персидском заливе, и были осуществлены группой, которую Microsoft отслеживает как DEV-0343 — скорее всего, новая группа из Ирана.
Тег «DEV» указывает на то, что группа не является подтвержденной атакующей группой, спонсируемой государством, но со временем она может стать таковой.
SEE: Предупреждение безопасности BYOD: вы не можете делать все безопасно, используя только личные устройства
Центр анализа угроз Microsoft (MSTIC) заявил он заметил, что DEV-0343 «проводил обширную обработку паролей более чем 250 арендаторам Office 365, уделяя особое внимание компаниям оборонных технологий США и Израиля, портам въезда в Персидский залив или глобальным морским транспортным компаниям, имеющим бизнес на Ближнем Востоке».
Microsoft сообщила, что «менее 20» целевых клиентов были успешно скомпрометированы.
Риск компрометации в результате атак с использованием паролей значительно снижен для организаций, внедряющих многофакторную аутентификацию.
Хакерская группа нацелена на компании, которые поддерживают организации США, Европейского Союза и Израиля, производящие военные радары, дроны, спутниковые системы и системы связи для реагирования на чрезвычайные ситуации, а также географические информационные системы (ГИС), пространственную аналитику, Персидский залив порты, а также морские компании и компании по транспортировке грузов в регионе.
«Microsoft оценивает, что это нацеливание поддерживает иранское правительство, отслеживающее службы безопасности и морского судоходства противника на Ближнем Востоке, чтобы улучшить их планы действий в чрезвычайных ситуациях. Получение доступа к коммерческим спутниковым изображениям а собственные планы поставок и журналы могут помочь Ирану компенсировать разработку спутниковой программы ", — заявила Microsoft.
На прошлой неделе Microsoft подняла красный флаг в связи с хакерскими атаками, спонсируемыми государством, и назвал хакеров российской разведки самой активной киберугрозой в мире. По словам Microsoft, хакеры, пользующиеся поддержкой Кремля, становятся не только более плодовитыми, но и более эффективными. Это также свидетельствует о значительном росте иранских хакерских атак на израильские организации.
«Этот год ознаменовался почти четырехкратным увеличением количества нападений на израильские организации, в результате исключительно иранских игроков, которые сосредоточили внимание на Израиле, поскольку напряженность между противниками резко возросла», — отметила Microsoft в своем последнем отчете о цифровой защите [DigitalDefenseReport
Последнее предупреждение американским и израильским организациям, работающим на Ближнем Востоке, гласит, что они должны следить за подозрительными подключениями Tor к своим сетям.
"DEV-0343 проводит обширную обработку паролей, имитируя браузер Firefox и используя IP-адреса, размещенные в прокси-сети Tor. Они наиболее активны с воскресенья по четверг с 7:30 до 20:30 по иранскому времени (04:00: 00 и 17:00:00 UTC) со значительным падением активности до 7:30 и после 20:30 по иранскому времени. Обычно они нацелены на от десятков до сотен учетных записей в организации, в зависимости от размера, и перечисляют каждый "В среднем от 150 до 1000+ уникальных IP-адресов прокси-сервера Tor используются в атаках на каждую организацию", — предупреждает Microsoft в своем блоге.
СМОТРЕТЬ: Microsoft Windows 11: как получить сейчас (или позже)
DEV-0343 часто нацелен на конечные точки Exchange, включая автообнаружение и ActiveSync с атаками по подбору пароля. Это позволяет DEV-0343 проверять активные учетные записи и пароли, а также дополнительно совершенствовать свою деятельность по распылению паролей, — заявила Microsoft. реквизиты для входа.
Он также рекомендует администраторам проверять и применять политики доступа к Exchange Online и блокировать весь входящий трафик, исходящий от таких служб, как сеть Tor.
