微軟將 Azure、Outlook 和 OneDrive 中斷歸咎於大規模 DDoS 攻擊

2023 / 06 / 19

編輯部

微軟將 Azure、Outlook 和 OneDrive 中斷歸咎於大規模 DDoS 攻擊

微軟公告表示 Azure、Outlook 和 OneDrive 的系列服務中斷歸咎於編號Storm-1359 的組織，微軟表示這些攻擊基於存取多個虛擬專用服務器 (VPS) 以及雲基礎設施服務、開放代理程式和 DDoS 工具而進行。

Storm-####（以前稱為 DEV-####）是微軟分配給未知的、新興的或發展中群體的臨時名稱，這些群體的身份或隸屬關係尚未明確確定。

雖然沒有證據表明任何客戶資料被訪問或洩露，這些攻擊確實短暫影響部分服務的可用性。微軟表示，它進一步觀察到威脅參與者從多個雲服務和開放代理基礎設施發起第 7 層 DDoS 攻擊。包括 HTTP(S) 泛洪攻擊（HTTP(S) flood attacks），運用大量 HTTP(S) 請求轟炸目標服務；以及「緩存繞道（cache bypass）」，繞過 CDN並使原服務器過載；和一種稱為「 Slowloris」的技術。

微軟安全響應中心 (MSRC) 表示，此次攻擊是客戶端打開與 Web 服務器的連接，請求資源例如圖像，然後無法確認下載（或緩慢接受）。這迫使網路服務器保持連接打開，並將請求的資源保存在內存中。

名為Anonymous Sudan （匿名蘇丹）的駭客組織聲稱對此次攻擊負責。然而值得注意的是，微軟並未明確將 Storm-1359 與 Anonymous Sudan 聯繫起來。

Outlook、Teams、SharePoint Online 和 OneDrive for Business 等 Microsoft 365 服務在本月初出現故障，該公司隨後表示已檢測到請求率增加的異常情況。流量分析顯示，針對 Azure 門戶發出的 HTTP 請求異常激增，繞過了現有的自動預防措施，並觸發了服務中斷反應。

自今年年初以來，Anonymous Sudan對瑞典、荷蘭、澳大利亞和德國組織發起了一系列 DDoS 攻擊。Anonymous Sudan可能是親俄威脅組織KillNet的分支，該組織在去年的俄烏衝突期間首次聲名大噪。Killnet 主要以營利為目的，目前積極推廣期其 DDoS 攻擊出租服務。

本文轉載自TheHackerNews。

Storm-1359 緩存繞道 DDoS CDN Slowloris 匿名蘇丹 Anonymous Sudan Azure