Microsoft: хакеры, связанные с Ираном, нацелены на оборонные технологические компании США

12
Microsoft исправляет обход TPM Surface Pro 3 с помощью общедоступного кода эксплойта

Связанные с Ираном злоумышленники атакуют арендаторов Office 365 американских и израильских компаний, занимающихся оборонными технологиями, в масштабных атаках с использованием паролей.

В атаках со спреем паролей злоумышленники пытаются подобрать учетные записи, используя одни и те же пароли для нескольких учетных записей одновременно, что позволяет им скрывать неудачные попытки с использованием разных IP-адресов.

Это позволяет им преодолевать автоматические средства защиты, такие как блокировка пароля и вредоносная блокировка IP-адресов, предназначенная для блокировки нескольких неудачных попыток входа в систему.

Кластер активности был временно назван DEV-0343 исследователями из Microsoft Threat Intelligence Center (MSTIC) и Microsoft Digital Security Unit (DSU), которые отслеживали его с конца июля.

Нападения совпадают с интересами иранского правительства

Согласно Microsoft, эта продолжающаяся вредоносная деятельность согласуется с национальными интересами Ирана, основанными на методах и целях, согласованных с другим лицом, связанным с Ираном.

DEV-0343 также был связан с Ираном на основе анализа образа жизни и обширного пересечения секторных и географических целей с другими иранскими хакерскими группами.

«Нацеливание на эту деятельность DEV-0343 наблюдается во всех оборонных компаниях, которые поддерживают партнеров США, Европейского Союза и правительства Израиля, производящих радары военного уровня, технологии дронов, спутниковые системы и системы связи для реагирования на чрезвычайные ситуации», — сообщает Microsoft.

«Дальнейшая деятельность нацелена на клиентов в области географических информационных систем (ГИС), пространственной аналитики, региональных портов входа в Персидский залив, а также нескольких морских и грузовых транспортных компаний с бизнес-центром на Ближнем Востоке».

Конечная цель операторов DEV-0343, вероятно, получить доступ к коммерческим спутниковым изображениям и собственным планам доставки и журналам, которые будут использоваться для дополнения спутниковой программы Ирана, находящейся в разработке.

Корпорация Майкрософт напрямую уведомила клиентов, которые были нацелены или скомпрометированы, предоставив им информацию, необходимую для защиты их учетных записей.

Пробито менее 20 целей

С момента начала атак было скомпрометировано менее 20 целей, при этом Microsoft отмечает, что учетные записи Office 365 с переключенной многофакторной проверкой подлинности (MFA) устойчивы к атакам с использованием спрея паролей DEV-0343.

DEV-0343 нацелен на конечные точки Autodiscover и ActiveSync Exchange с помощью своего инструмента перечисления / разбрызгивания паролей для проверки активных учетных записей и уточнения их атак.

«Обычно они нацелены на от десятков до сотен учетных записей в организации, в зависимости от размера, и перечисляют каждую учетную запись от десятков до тысяч раз», — сообщает Microsoft.

«В среднем от 150 до 1000+ уникальных IP-адресов прокси-сервера Tor используется в атаках против каждой организации».

Как защититься от нападений

Компаниям, участвующим в этой деятельности, рекомендуется искать поведение и тактику DEV-0343 в журналах и сетевой активности, в том числе:

  • Обширный входящий трафик с IP-адресов Tor для кампаний по рассылке паролей.
  • Эмуляция браузеров FireFox (наиболее распространенных) или Chrome в кампаниях со спреем паролей
  • Перечисление конечных точек Exchange ActiveSync (наиболее часто) или автообнаружения
  • Использование инструмента для перечисления / ввода пароля, аналогичного инструменту o365spray.
  • Использование автообнаружения для проверки учетных записей и паролей
  • Наблюдаемая активность распыления паролей обычно достигает пика между 04:00:00 и 11:00:00 по всемирному координированному времени.

Microsoft рекомендует принять следующие меры для защиты от атак DEV-0343:

Исследователи MSTIC и DSU также поделились расширенными поисковыми запросами Microsoft 365 Defender и Azure Sentinel в конце сообщения блога, чтобы помочь командам SecOps обнаруживать активность, связанную с DEV-0343.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here