一個由超過13萬台被入侵設備組成的大規模殭屍網路正在對全球Microsoft 365(M365)用戶進行密碼噴灑攻擊。根據SecurityScorecard的報告,攻擊者利用資料竊取惡意軟體盜取的憑證大規模攻擊這些賬戶。
這些攻擊依靠使用基本驗證(Basic Auth)的非交互式登錄來繞過多因素身份驗證(MFA)保護,並在不觸發安全警報的情況下獲得未授權訪問。研究人員解釋,僅依賴交互式登錄監控的組織無法察覺這些攻擊。非交互式登錄通常用於服務對服務的驗證、傳統協議(如POP、IMAP、SMTP)和自動化流程,在許多配置中不會觸發MFA。基本驗證在某些環境中仍然啟用,允許憑證以明文形式傳輸,讓這些用戶成為攻擊者的主要目標。
基本驗證是一種過時的驗證方法,用戶的憑證以明文或base64編碼形式隨每個請求發送到服務器。它缺乏MFA和基於Token驗證等現代安全功能。
微軟計劃在2025年9月淘汰它,轉而使用OAuth 2.0,並且已在大多數Microsoft 365服務禁用Basic Auth。
新發現的殭屍網路使用基本驗證嘗試針對大量賬戶使用常見或泄露的密碼。由於基本驗證是非交互式的,當嘗試的憑證匹配時,攻擊者不會被要求提供MFA,通常也不受CAP(Conditional Access Policies)的限制,使攻擊者能夠悄無聲息地驗證賬戶憑證。
一旦憑證被驗證,它們可用於訪問不需要MFA的服務,或在更複雜的釣魚攻擊中繞過安全功能,獲得賬戶的完全訪問權限。
SecurityScorecard還強調,用戶可能在Entra ID日誌中看到密碼噴灑攻擊的跡象,如非交互式登錄嘗試增加、來自不同IP的多次失敗登錄嘗試,以及認證日誌中存在「fasthttp」用戶代理。
SpearTip曾警告威脅行為者以類似方式使用
FastHTTP Go函式庫進行Microsoft 365密碼攻擊,但未提及非交互式登錄。目前尚不清楚這是否是殭屍網路為逃避檢測而進行的較新發展。
可能與中國威脅行為者有關
SecurityScorecard報告表示,殭屍網路的運營者可能與中國有關聯,儘管目前還沒有明確或確定的歸因。
該殭屍網路主要通過六個C2伺服器運作,這些伺服器由美國提供商Shark Tech託管,同時通過香港的UCLOUD HK和與中國有關聯的CDS Global Cloud代理流量。C2伺服器運行Apache Zookeeper並使用Kafka管理殭屍網路操作。C2伺服器上的系統時區設置為Asia/Shanghai,而它們的運行時間表明殭屍網路至少自2024年12月以來一直活躍。
殭屍網路利用超過13萬台被入侵的設備將登錄嘗試分散到不同的IP地址,這有助於避免因可疑活動而被標記和阻止。
組織應在Microsoft 365中禁用基本驗證,阻止報告中列出的IP地址,啟用CAP以限制登錄嘗試,並在所有賬戶上使用MFA。
本文轉載自bleepingcomputer。